Wireshark può leggere i dati inviati a / da altri computer?

Supponiamo che WireShark sia installato sul computer A. E diciamo che sto guardando un video di Youtube sul computer B.

WireShark può vedere che cosa sta facendo il computer B?

In generale, no, Wireshark non può percepire quel traffico. ErikA descrive il perché.

Tuttavia ... se la tua rete lo supporta, la rete stessa può mostrare a Computer A il traffico per Computer B, e da lì Wireshark può catturarlo. Esistono diversi modi per arrivarci.

• Stesso switch, buon metodo Se entrambi i computer si trovano sullo stesso switch di rete e lo switch è gestito, è probabilmente possibile configurarlo per estendere / rispecchiare / monitorare (i termini cambiano con il fornitore) per la porta del computer B sulla porta del computer A . Ciò consentirà a Wireshark sul computer A di vedere il traffico.
• Stesso switch, metodo malvagio Se entrambi i computer si trovano sullo stesso switch di rete e lo switch non è terribilmente sicuro, è possibile eseguire quello che è noto come un attacco di spoofing ARP. Computer A emette un pacchetto ARP che dice alla sottorete che in realtà è l'indirizzo del gateway, anche se non lo è. I client che accettano il pacchetto ARP riscrivono il loro IP: tabella di ricerca dell'indirizzo MAC con l'indirizzo errato in esso e procedono a inviare tutto il traffico off-subnet al computer B. Per farlo funzionare, il computer B deve quindi inviarlo al vero gateway. Questo non funziona su tutti gli switch e alcuni stack di rete rifiutano questo tipo di cose.
• Stessa sottorete, metodo malvagio Se neanche il router è terribilmente sicuro, l'attacco di spoofing ARP funzionerà per un'intera sottorete!
• Subnet completamente diversa Se il computer B si trova su una subnet completamente diversa, l'unico modo in cui funziona è se il core del router supporta una soluzione di monitoraggio remoto. Ancora una volta, i nomi variano e la topologia di rete deve essere corretta. Ma è possibile

Lo spoofing ARP è l'unico modo per un computer senza privilegi di rete speciali di annusare il traffico di un altro nodo di rete, e ciò dipende dal fatto che lo switch di rete difenda o meno da quel tipo di azione. La semplice installazione di Wireshark non è sufficiente, è necessario eseguire alcune altre azioni. Altrimenti, accadrà solo quando la rete è esplicitamente configurata per farlo accadere.

Se sei su una rete commutata (che è altamente probabile) e, a meno che il computer A non funga da route predefinita per il computer B (improbabile), allora no, il computer A non sarà in grado di vedere i pacchetti destinati al computer B.

Come alludeva Farseeker, eri in grado di farlo. Dieci anni fa, molte reti utilizzavano hub, che erano come switch ma più stupidi, in quanto riflettevano ogni pacchetto su ogni porta invece di capire dove doveva andare ogni pacchetto e inviarlo solo lì. Prima di ciò, alcune reti utilizzavano Ethernet coassiale con un cavo comune (e senza hub o switch) che ogni stazione trasmetteva e ascoltava.

In entrambe le situazioni di cui sopra, una macchina con Ethereal (vecchio nome per Wireshark) potrebbe effettivamente curiosare su tutta la rete.

Sebbene questa situazione si applichi a pochissime reti al giorno d'oggi, la menziono per contesto e per capire perché l'idea di usare Wireshark per curiosare su altri è ancora nella testa di molte persone.

Pete

Se citiamo comunque metodi malvagi: con alcuni switch non gestiti che sovraccaricano la tabella CAM si suppone possa funzionare, ed è documentato da qualche parte nei documenti di tcpdump IIRC.