Captura de tráfico de Wireshark: una subred a otra subred

Mi configuración es una computadora con Wirehark conectado para encender la red LAN. La IP de subred en la que está conectado el wirehark es .0. #. Me gustaría capturar el tráfico entre la subred IP de .0. # Y .2. #. Sin embargo, cuando incluyo el filtro:

tcp e ip.addr == 192. ###. 2. # && ip.addr == 192. ###. 0. # (con # siendo números), ¿no veo tráfico entre esas dos IP? Tengo ping tanto IP FINE!

Entonces, ¿es esto posible? Al hacer clic en Editar filtro y poner lo anterior, ¿estoy configurando el filtro correctamente?

¡Los enlaces o tutoriales serían geniales!

networking ip switch wireshark

— Benjamin Jones
fuente

Tenga en cuenta: no puede ver el tráfico en un conmutador a menos que vaya o vaya a / desde la computadora con Wireshark instalado. Es decir, a menos que su conmutador admita la configuración de un puerto de supervisión.

— Ƭᴇcʜιᴇ007

Debe asegurarse de que el conmutador esté enviando este tráfico al puerto en el que está conectada la máquina Wireshark. Puede hacer esto de varias maneras:

Si se trata de un conmutador manejable que admite la supervisión de puertos (también llamado duplicación de puertos u otros nombres similares), puede ver en qué puerto está conectado uno de sus equipos de punto final de destino (o el enrutador entre las subredes) y reflejar ese puerto en el puerto La máquina Wireshark está encendida.
Si no tiene un conmutador manejable, pero tiene un concentrador alrededor, puede usar un concentrador en lugar del conmutador (o entre el conmutador y uno de los puntos finales de tráfico). Desafortunadamente, no existe un conmutador gigabit, por lo que esta solución solo funciona si está de acuerdo con velocidades de 10/100 mbit.
Ejecute Wireshark en uno de los puntos finales de la prueba o en el enrutador que conecta las subredes. A veces, ejecutar un sniffer en uno de los dispositivos involucrados en la prueba puede interferir con la prueba, por lo tanto, advierta al lector .

— Spiff
fuente