Secara umum, tidak, Wireshark tidak dapat merasakan lalu lintas itu. ErikA menjelaskan alasannya.
Namun ... jika jaringan Anda mendukungnya, jaringan itu sendiri dapat menunjukkan Komputer A lalu lintas untuk Komputer B, dan dari sana Wireshark dapat mengambilnya. Ada beberapa cara untuk mendapatkannya di sana.
Same Switch, metode yang baik Jika kedua komputer berada pada switch jaringan yang sama, dan switch dikelola, mungkin untuk mengkonfigurasi untuk span / mirror / monitor (istilah berubah dengan vendor) lalu lintas untuk port Computer B ke port Computer A. . Itu akan memungkinkan Wireshark di Komputer A untuk melihat lalu lintas.
Same Switch, metode jahat Jika kedua komputer berada di switch jaringan yang sama, dan switch tidak terlalu aman, dimungkinkan untuk melakukan apa yang dikenal sebagai serangan Spoofing ARP. Komputer A mengeluarkan paket ARP yang memberi tahu subnet bahwa itu sebenarnya alamat gateway, walaupun sebenarnya tidak. Klien yang menerima paket ARP menulis ulang IP mereka: Tabel pencarian Alamat MAC dengan alamat yang buruk di dalamnya, dan melanjutkan untuk mengirim semua lalu lintas subnet ke Komputer B. Agar ini berfungsi, Komputer B kemudian harus mengirimnya ke gerbang nyata. Ini tidak berfungsi pada semua switch, dan beberapa tumpukan jaringan menolak hal semacam ini.
Subnet yang sama, metode jahat Jika router tidak terlalu aman, serangan Spoofing ARP akan bekerja untuk seluruh subnet!
Berbeda Subnet seluruhnya Jika Komputer B berada pada subnet yang sama sekali berbeda, satu-satunya cara ini bekerja adalah jika inti router mendukung solusi pemantauan jarak jauh. Sekali lagi, namanya berbeda-beda, dan topologi jaringan harus tepat. Tapi itu mungkin.
ARP Spoofing adalah satu-satunya cara bagi komputer yang tidak memiliki hak jaringan khusus untuk mengendus lalu lintas node jaringan lain, dan itu tergantung pada apakah switch jaringan membela terhadap tindakan semacam itu atau tidak. Cukup menginstal Wireshark tidak cukup, beberapa tindakan lain perlu diambil. Kalau tidak, itu hanya akan terjadi ketika jaringan secara eksplisit dikonfigurasi untuk membiarkannya terjadi.
Penjelasan yang bagus. Sudah terlambat di sini dan saya tidak memiliki kesabaran untuk mengetik semua itu. :)
EEAA
Dan tentu saja, sniffer dapat menangkap lalu lintas di jaringan yang tidak diaktifkan (misalnya: hub).
jweyrich
Bagaimana dengan WiFi?
Pieter
Bagaimana dengan ARP flooding, sehingga mengisi tabel CAM switch?
Ryan Ries
4
Jika Anda berada di jaringan yang diaktifkan (yang sangat mungkin), dan kecuali komputer A berfungsi sebagai rute default untuk komputer B (tidak mungkin), maka tidak, komputer A tidak akan dapat melihat paket yang ditujukan untuk komputer B.
Kembalikan hari-hari di hub 10Mb untuk menghirup seks bebas!
Mark Henderson
Memang! Tentu saja SPAN biasanya menangani itu dengan baik. :)
EEAA
Orang-orang jaringan di $ oldJob menyimpan beberapa hub 10MB di sekitar untuk mengendus mudah. Bekerja dengan baik untuk masalah desktop, meskipun mungkin tidak sebaik hari ini.
sysadmin1138
@ sysadmin1138: Ya, saya pernah mendengar trik itu juga. Satu-satunya masalah adalah, itu tidak akan benar-benar membantu Anda dengan Gigabit Ethernet over fiber ...
sleske
@sleske Memang, memang ... juga tidak membantu dengan koneksi serat 10MB yang mereka miliki saat itu.
sysadmin1138
2
Seperti yang disinggung oleh Farseeker, Anda dulu bisa. Sepuluh tahun yang lalu, banyak jaringan menggunakan hub, yang seperti switch tetapi bodoh, karena mereka mencerminkan setiap paket ke setiap port alih-alih mencari tahu ke mana setiap paket harus pergi dan mengirimkannya hanya di sana. Sebelumnya, beberapa jaringan menggunakan coaxial ethernet dengan kabel yang sama (dan tidak ada hub atau switch) yang disiarkan dan didengarkan oleh setiap stasiun.
Dalam kedua situasi di atas, mesin dengan Ethereal (nama lama untuk Wireshark) memang bisa mengintip seluruh jaringan.
Meskipun situasi ini berlaku untuk jaringan yang sangat sedikit hari ini, saya menyebutkannya untuk konteks dan untuk memahami mengapa gagasan menggunakan Wireshark untuk mengintip orang lain masih di kepala banyak orang.
Jika kita tetap menyebutkan metode jahat: dengan beberapa saklar yang tidak dikelola yang berlebihan, tabel CAM seharusnya dapat berfungsi, dan didokumentasikan di suatu tempat di tcpdump docs IIRC.
Jika Anda berada di jaringan yang diaktifkan (yang sangat mungkin), dan kecuali komputer A berfungsi sebagai rute default untuk komputer B (tidak mungkin), maka tidak, komputer A tidak akan dapat melihat paket yang ditujukan untuk komputer B.
sumber
Seperti yang disinggung oleh Farseeker, Anda dulu bisa. Sepuluh tahun yang lalu, banyak jaringan menggunakan hub, yang seperti switch tetapi bodoh, karena mereka mencerminkan setiap paket ke setiap port alih-alih mencari tahu ke mana setiap paket harus pergi dan mengirimkannya hanya di sana. Sebelumnya, beberapa jaringan menggunakan coaxial ethernet dengan kabel yang sama (dan tidak ada hub atau switch) yang disiarkan dan didengarkan oleh setiap stasiun.
Dalam kedua situasi di atas, mesin dengan Ethereal (nama lama untuk Wireshark) memang bisa mengintip seluruh jaringan.
Meskipun situasi ini berlaku untuk jaringan yang sangat sedikit hari ini, saya menyebutkannya untuk konteks dan untuk memahami mengapa gagasan menggunakan Wireshark untuk mengintip orang lain masih di kepala banyak orang.
Pete
sumber
Jika kita tetap menyebutkan metode jahat: dengan beberapa saklar yang tidak dikelola yang berlebihan, tabel CAM seharusnya dapat berfungsi, dan didokumentasikan di suatu tempat di tcpdump docs IIRC.
sumber