¿Puede Wireshark leer los datos que se envían a / desde otras computadoras?

Pregunta:

Digamos que WireShark está instalado en la computadora A. Y digamos que estoy viendo un video de Youtube en la computadora B.

¿Puede WireShark ver qué está haciendo la computadora B?

Respuesta:

En general, no, Wireshark no puede sentir ese tráfico. ErikA describe por qué.

Sin embargo … si su red lo admite, la propia red puede mostrarle a la Computadora A el tráfico de la Computadora B, y desde allí Wireshark puede capturarlo. Hay varias formas de conseguirlo.

  • Mismo conmutador, buen método Si ambas computadoras están en el mismo conmutador de red y el conmutador está administrado, probablemente sea posible configurarlo para distribuir / duplicar / monitorear (los términos cambian con el proveedor) del tráfico del puerto de la computadora B al puerto de la computadora A . Eso permitirá que Wireshark en la computadora A vea el tráfico.
  • Mismo conmutador, método maligno Si ambas computadoras están en el mismo conmutador de red y el conmutador no es terriblemente seguro, es posible realizar lo que se conoce como un ataque de suplantación de identidad ARP. La computadora A emite un paquete ARP que le dice a la subred que en realidad es la dirección de la puerta de enlace, aunque no lo es. Los clientes que aceptan el paquete ARP reescriben su IP: tabla de búsqueda de direcciones MAC con la dirección incorrecta y proceden a enviar todo el tráfico fuera de la subred a la computadora B.Para que esto funcione, la computadora B debe enviarlo a la puerta de enlace real. Esto no funciona en todos los conmutadores y algunas pilas de red rechazan este tipo de cosas.
  • Misma subred, método maligno Si el enrutador tampoco es muy seguro, el ataque ARP Spoofing funcionará para toda una subred.
  • Subred completamente diferente Si la computadora B está en una subred completamente diferente, la única forma en que esto funciona es si el núcleo del enrutador admite una solución de monitoreo remoto. Nuevamente, los nombres varían y la topología de la red debe ser la correcta. Pero es posible.

La suplantación de ARP es la única forma en que una computadora sin privilegios de red especiales puede rastrear el tráfico de otro nodo de red, y eso depende de si el conmutador de red se defiende o no contra ese tipo de acción. Simplemente instalar Wireshark no es suficiente, es necesario tomar alguna otra acción. De lo contrario, solo sucederá cuando la red esté configurada explícitamente para permitir que suceda.

Leave a Comment

Your email address will not be published. Required fields are marked *

Scroll to Top

web tasarım