Может ли Wireshark считывать данные, отправляемые на другие компьютеры?

8

Скажем, WireShark установлен на компьютере А. И, скажем, я смотрю видео с Youtube на компьютере Б.

Может ли WireShark увидеть, что делает компьютер B?

AngryHacker
источник

Ответы:

17

В общем, нет, Wireshark не может чувствовать этот трафик. ЭрикА описывает почему.

Однако ... если ваша сеть поддерживает это, сама сеть может показать компьютеру A трафик для компьютера B, и оттуда Wireshark может захватить его. Есть несколько способов получить это там.

  • Тот же коммутатор, хороший метод Если оба компьютера подключены к одному сетевому коммутатору, а коммутатор управляется, возможно, можно настроить его так, чтобы он охватывал / отражал / отслеживал (условия меняются в зависимости от поставщика) для порта компьютера B на порт компьютера A , Это позволит Wireshark на компьютере A видеть трафик.
  • Тот же коммутатор, злой метод Если оба компьютера подключены к одному сетевому коммутатору, а коммутатор не слишком защищен, можно выполнить так называемую атаку ARP Spoofing. Компьютер A выдает пакет ARP, сообщающий подсети, что это фактически адрес шлюза, хотя это не так. Клиенты, которые принимают пакет ARP, переписывают свою таблицу поиска IP: MAC-адреса с использованием неверного адреса и продолжают отправлять весь трафик вне подсети на компьютер B. Чтобы это работало, компьютер B затем должен отправить его на настоящий шлюз. Это работает не на всех коммутаторах, и некоторые сетевые стеки отвергают подобные вещи.
  • Та же подсеть, злой метод Если роутер тоже не очень защищен, атака ARP Spoofing будет работать для всей подсети!
  • Полностью другая подсеть Если компьютер B полностью находится в другой подсети, это работает только в том случае, если ядро ​​маршрутизатора поддерживает решение для удаленного мониторинга. И снова имена меняются, и топология сети должна быть правильной. Но это возможно.

ARP Spoofing - единственный способ для компьютера без специальных сетевых привилегий перехватывать трафик другого сетевого узла, и это зависит от того, защищает ли сетевой коммутатор такой тип действий. Простой установки Wireshark недостаточно, необходимо предпринять некоторые другие действия. В противном случае это произойдет только тогда, когда сеть явно настроена на это.

sysadmin1138
источник
Хорошее объяснение. Уже поздно, и у меня не хватило терпения напечатать все это. :)
EEAA
И, конечно, анализаторы могут захватывать трафик в некоммутируемых сетях (например, в концентраторе).
jweyrich
А как насчет WiFi?
Питер
Как насчет затопления ARP, заполняя тем самым таблицу CAM коммутаторов?
Райан Райс
4

Если вы находитесь в коммутируемой сети (что весьма вероятно), и если компьютер A не используется в качестве маршрута по умолчанию для компьютера B (маловероятно), то нет, компьютер A не сможет видеть пакеты, предназначенные для компьютера B.

EEAA
источник
1
Верните дни 10-мегабайтного концентратора для беспорядочного обнюхивания!
Марк Хендерсон
Верно! Конечно, SPAN обычно прекрасно справляется с этим. :)
EEAA
Сетевые парни из $ oldJob держали в руках несколько 10-мегабайтных концентраторов для легкого прослушивания. Хорошо работал для проблем с рабочим столом, хотя, возможно, не так хорошо в наши дни.
sysadmin1138
@ sysadmin1138: Да, я тоже слышал об этом трюке. Единственная проблема в том, что это не поможет вам с Gigabit Ethernet по оптоволокну ...
sleske 5.10.10
@sleske Действительно, действительно ... и это не помогло с оптоволоконными соединениями 10 Мбит, которые они имели в то время.
sysadmin1138
2

Как намекал Farseeker, раньше вы могли это делать. Десять лет назад во многих сетях использовались концентраторы, которые были похожи на коммутаторы, но тупее, поскольку они отражали каждый пакет на каждом порту, а не выясняли, куда нужно направлять каждый пакет, и отправляли его только туда. До этого в некоторых сетях использовался коаксиальный Ethernet с общим кабелем (и без концентратора или коммутатора), который передавал и прослушивал каждая станция.

В обеих вышеупомянутых ситуациях машина с Ethereal (старое название Wireshark) действительно может отслеживать всю сеть.

Хотя в наши дни эта ситуация применима к очень немногим сетям, я упоминаю об этом для контекста и понимания того, почему идея использовать Wireshark для слежки за другими людьми до сих пор остается у многих людей в голове.

Пит

Пит
источник
0

Если в любом случае мы упоминаем злые методы: перегрузка некоторых неуправляемых коммутаторов может привести к тому, что таблица CAM может сработать, и это задокументировано где-то в tcpdump docs IIRC.

rackandboneman
источник