Wireshark có thể đọc dữ liệu được gửi đến / từ các máy tính khác không?

Giả sử WireShark được cài đặt trên máy tính A. Và giả sử tôi đang xem video Youtube trên máy tính B.

WireShark có thể thấy máy tính B đang làm gì không?

Nói chung, không, Wireshark không thể cảm nhận được lưu lượng đó. ErikA mô tả lý do tại sao.

Tuy nhiên ... nếu mạng của bạn hỗ trợ nó, thì chính mạng đó có thể hiển thị cho Máy tính A lưu lượng truy cập cho Máy tính B và từ đó Wireshark có thể lấy nó. Có một số cách để có được nó ở đó.

• Cùng một Switch, phương thức tốt Nếu cả hai máy tính nằm trên cùng một bộ chuyển mạch mạng và bộ chuyển mạch được quản lý, có thể định cấu hình nó để mở rộng / nhân bản / màn hình (thay đổi thuật ngữ với nhà cung cấp) cho cổng của Máy tính B sang cổng của Máy tính A . Điều đó sẽ cho phép Wireshark trên Máy tính A xem lưu lượng.
• Cùng một Switch, phương thức độc ác Nếu cả hai máy tính nằm trên cùng một công tắc mạng và công tắc không an toàn khủng khiếp, có thể thực hiện cái được gọi là tấn công giả mạo ARP. Máy tính A phát hành gói ARP thông báo cho mạng con rằng đó thực sự là địa chỉ cổng, mặc dù không phải vậy. Các khách hàng chấp nhận gói ARP viết lại IP của họ: Bảng tra cứu Địa chỉ MAC có địa chỉ xấu trong đó và tiến hành gửi tất cả lưu lượng truy cập mạng con đến Máy tính B. Để làm việc này, Máy tính B sau đó phải gửi nó đến cổng thật. Điều này không hoạt động trên tất cả các thiết bị chuyển mạch và một số ngăn xếp mạng từ chối loại điều này.
• Cùng một mạng con, phương thức độc ác Nếu bộ định tuyến không an toàn khủng khiếp, cuộc tấn công giả mạo ARP sẽ hoạt động cho toàn bộ mạng con!
• Mạng con khác nhau hoàn toàn Nếu Máy tính B hoàn toàn nằm trên một mạng con khác, cách duy nhất hoạt động là nếu lõi bộ định tuyến hỗ trợ giải pháp giám sát từ xa. Một lần nữa, tên khác nhau, và cấu trúc liên kết mạng phải vừa phải. Nhưng nó có thể.

Giả mạo ARP là cách duy nhất để một máy tính không có đặc quyền mạng đặc biệt đánh hơi lưu lượng của nút mạng khác và điều đó phụ thuộc vào việc chuyển đổi mạng có bảo vệ chống lại loại hành động đó hay không. Đơn giản chỉ cần cài đặt Wireshark là không đủ, một số hành động khác cần phải được thực hiện. Mặt khác, nó sẽ chỉ xảy ra khi mạng được cấu hình rõ ràng để cho phép nó xảy ra.

Nếu bạn đang sử dụng mạng chuyển mạch (rất có khả năng) và trừ khi máy tính A hoạt động như tuyến mặc định cho máy tính B (không có khả năng), thì không, máy tính A sẽ không thể thấy các gói được định sẵn cho máy tính B.

Như Farseeker đã ám chỉ, bạn đã từng có thể. Mười năm trước, nhiều mạng đã sử dụng các trung tâm, giống như các thiết bị chuyển mạch nhưng không hoạt động, trong đó chúng phản ánh mọi gói tin trên mỗi cổng thay vì tìm ra nơi mỗi gói cần đi và chỉ gửi ở đó. Trước đó, một số mạng đã sử dụng ethernet đồng trục với một cáp chung (và không có hub hoặc bộ chuyển mạch) mà mọi đài phát sóng và nghe.

Trong cả hai tình huống trên, một cỗ máy có Ethereal (tên cũ của Wireshark) thực sự có thể rình mò trên toàn bộ mạng.

Mặc dù tình huống này áp dụng cho rất ít mạng hiện nay, tôi đề cập đến bối cảnh và để hiểu lý do tại sao ý tưởng sử dụng Wireshark để rình mò người khác vẫn còn trong đầu nhiều người.

Pete

Nếu chúng ta đang đề cập đến các phương thức xấu: với một số công tắc không được quản lý, quá tải bảng CAM có thể hoạt động và được ghi lại ở đâu đó trong tài liệu tcpdump tài liệu IIRC.