Я пытаюсь перехватить пакеты, используя Wireshark. Но Wireshark собирает пакеты компьютеров, подключенных только к моему маршрутизатору. Если я знаю IP-адрес компьютера, могу ли я прослушать пакеты этого компьютера? Или есть какой-нибудь способ прослушать пакеты компьютеров / устройств, которые не подключены к моему маршрутизатору?
3 ответа
2
Wireshark может собирать пакеты на любом интерфейсе, который передает эти пакеты.
Если вы используете wireshark на ПК и т.д., То вы будете собирать данные с машины, на которой он работает, на любую другую машину в сети.
Если между этой машиной и любой другой машиной есть концентратор, вы также увидите весь его трафик. (концентраторы редко существуют в сети больше - к сожалению!)
Если между вами и другим компьютером есть переключатель, вы будете видеть только широковещательный трафик с другого компьютера. (если это управляемый коммутатор, вы можете «зеркалировать» порт, чтобы wireshark «видел» все пакеты, проходящие через этот порт.
Если вы используете wireshark на маршрутизаторе, вы увидите весь трафик, проходящий через интерфейс, который прослушивает wireshark. т.е. если у вас есть трехпортовый маршрутизатор с lan1, lan2 и wan и прослушивание на lan1, вы не увидите трафика, идущего lan2 <> wan. но увидим lan1 <> lan2 и lan1 <> wan1
Если lan1 (как # 4) подключен к коммутатору (как # 3), то же самое будет применяться как # 3
1
Ваша сеть, скорее всего, переключена. Это означает, что (за исключением некоторого начального трафика) одноадресные пакеты принимают только самый прямой маршрутизатор от источника к месту назначения. Это означает, что вы должны быть человеком посередине, чтобы захватывать трафик. В данный момент вы работаете на маршрутизаторе, это означает, что у вас есть доступ ко всем не внутренним коммуникациям.
В вики Wireshark есть отличная страница о том, почему захват пакетов в коммутируемых сетях очень сложен. Самый простой способ - запустить атаку MITM на компьютеры в вашей сети, используя отравление ARP:
Этот тип атаки обманывает оба компьютера, заставляя их думать, что ваш MAC-адрес является MAC-адресом другого компьютера. Это, в свою очередь, заставит коммутатор перенаправить весь их трафик на ваш компьютер, где вы сможете его прослушать, а затем отправлять трафик, как будто ничего не произошло.
Так что да, если у вас есть определенный IP-адрес, вы действительно можете использовать эту атаку. Однако делать это за пределами вашей домашней сети не рекомендуется и даже незаконно в некоторых странах.
1
Wireshark будет собирать только пакеты, которые проходят через его интерфейс Ethernet, поэтому это зависит от развертывания локальной сети.
Например, если устройства и маршрутизатор подключаются к коммутатору, Wireshark будет собирать только пакеты, направленные на маршрутизатор, выходящие из маршрутизатора, и широковещательные пакеты.
если устройства и маршрутизатор подключаются к концентратору, Wireshark будет собирать каждый пакет в сети.
Если вы подключены к коммутатору и хотите отслеживать устройство, на корпоративных коммутаторах есть функция, позволяющая вам реплицировать весь трафик с одного порта на другой порт, который мы можем назвать портом мониторинга.
Вы можете подключить ПК с Wireshark к порту мониторинга и собирать каждый пакет с / на это устройство.