¿Puede Wireshark leer los datos que se envían a / desde otras computadoras?

Digamos que WireShark está instalado en la computadora A. Y digamos que estoy viendo un video de Youtube en la computadora B.

¿WireShark puede ver qué está haciendo la computadora B?

En general, no, Wireshark no puede sentir ese tráfico. ErikA describe por qué.

Sin embargo ... si su red lo admite, la red misma puede mostrarle a la Computadora A el tráfico para la Computadora B, y desde allí Wireshark puede tomarlo. Hay varias formas de llegar allí.

• Mismo conmutador, buen método Si ambas computadoras están en el mismo conmutador de red y el conmutador está administrado, probablemente sea posible configurarlo para abarcar / duplicar / monitorear (los términos cambian con el proveedor) el tráfico del puerto de la computadora B al puerto de la computadora A. . Eso permitirá que Wireshark en la computadora A vea el tráfico.
• Mismo conmutador, método malvado Si ambas computadoras están en el mismo conmutador de red y el conmutador no es terriblemente seguro, es posible realizar lo que se conoce como un ataque ARP Spoofing. La computadora A emite un paquete ARP que le dice a la subred que en realidad es la dirección de la puerta de enlace, aunque no lo sea. Los clientes que aceptan el paquete ARP reescriben su IP: tabla de búsqueda de direcciones MAC con la dirección incorrecta, y proceden a enviar todo el tráfico fuera de la subred a la computadora B. Para que esto funcione, la computadora B debe enviarla a la Puerta de entrada real. Esto no funciona en todos los conmutadores, y algunas pilas de red rechazan este tipo de cosas.
• Misma subred, método malvado Si el enrutador tampoco es terriblemente seguro, ¡el ataque ARP Spoofing funcionará para una subred completa!
• Subred completamente diferente Si la Computadora B está en una subred completamente diferente, la única forma en que esto funciona es si el núcleo del enrutador admite una solución de monitoreo remoto. Una vez más, los nombres varían y la topología de la red debe ser la correcta. Pero es posible.

ARP Spoofing es la única forma para que una computadora sin privilegios especiales de red detecte el tráfico de otro nodo de red, y eso depende de si el conmutador de red se defiende o no de ese tipo de acción. Simplemente instalar Wireshark no es suficiente, se deben tomar otras medidas. De lo contrario, solo sucederá cuando la red esté configurada explícitamente para permitir que suceda.

Si está en una red conmutada (lo cual es muy probable), y a menos que la computadora A esté sirviendo como la ruta predeterminada para la computadora B (poco probable), entonces no, la computadora A no podrá ver los paquetes destinados a la computadora B.

Como aludió Farseeker, solías poder hacerlo. Hace diez años, muchas redes usaban concentradores, que eran como conmutadores pero más tontos, en el sentido de que reflejaban cada paquete en cada puerto en lugar de averiguar dónde debía ir cada paquete y enviarlo solo allí. Antes de eso, algunas redes usaban Ethernet coaxial con un cable común (y sin concentrador o conmutador) que todas las estaciones transmitían y escuchaban.

En las dos situaciones anteriores, una máquina con Ethereal (antiguo nombre de Wireshark) podría espiar en toda la red.

Aunque esta situación se aplica a muy pocas redes en estos días, lo menciono por contexto y para entender por qué la idea de usar Wireshark para espiar a otros todavía está en la cabeza de muchas personas.

Pete

Si de todos modos estamos mencionando métodos malvados: con algunos interruptores no administrados, la sobrecarga de la tabla CAM supuestamente puede funcionar, y está documentado en algún lugar de tcpdump docs IIRC.