Назад | Перейти на главную страницу

wirehark захватывает трафик других устройств в локальной сети

Я использую wirehark в Windows для захвата трафика.

Есть ли способ перехватить трафик других компьютеров, подключенных к той же локальной сети. Если это невозможно с wirehark, есть ли другой инструмент, способный сделать это.

Если ваш коммутатор (-ы) поддерживает это, вы можете настроить зеркалирование / мониторинг портов, что позволит коммутатору зеркалировать трафик с отслеживаемых портов на порт мониторинга.

http://en.wikipedia.org/wiki/Port_mirroring

Один из способов добиться желаемого - использовать инструмент отравления arp, например Ettercap. У вас должна быть возможность Wireshark / tcpdump выгрузить необходимую информацию.

Проблема заключается в том, что коммутатор Ethernet спроектирован так, что он изучает MAC-адреса на каждом порту и использует их для «маршрутизации» кадров Ethernet к правильному порту на основе их MAC-адреса. Это сделано для уменьшения коллизий, связанных с концентраторами Ethernet (что в наши дни редко встречается). Следовательно, вы будете видеть только кадры Ethernet, предназначенные для вашей сетевой карты или исходящие от нее, включая широковещательные кадры Ethernet, такие как ARP, но не внешний трафик. Это хорошая вещь :)

Большинство управляемых коммутаторов (не простой настольный) позволяют назначить зеркало порта, чтобы все кадры Ethernet реплицировались на определенный порт, к которому вы можете подключить машину в беспорядочном режиме и захватывать «чужие» кадры Ethernet с помощью tcpdump / Wireshark.

Однако это по-прежнему не позволит им быть захваченными Wireshark / tcpdump. Таким образом, вам нужен способ действовать как мост Ethernet между интересующими хостами и их шлюзом, но без физического присутствия на пути. Введите Ettercap, инструмент для отравления arp. Он обманывает ваши заинтересованные хосты (и коммутатор) в том, что MAC-адрес вашей машины теперь владеет IP-адресом старого IP-шлюза, отправляя «бесплатный arp». Интересные машины невольно отправят на вашу машину весь трафик, предназначенный для шлюза / маршрута по умолчанию. Теперь ваша машина будет пересылать пакеты через свой IP-стек, как если бы это был шлюз.

Это не сработает, когда на коммутаторе включена «защита порта», что является довольно распространенной практикой. Это сделано для того, чтобы остановить отравление arp путем блокировки беспричинных arp, когда IP-адрес перемещается с одного порта Ethernet на другой.

Речь идет не об инструменте, а о захвате с устройства, которое находится на интересующем вас пути трафика. Поскольку коммутаторы передают пакеты только на те порты, для которых они предназначены, а граничное устройство не будет видеть трафик между двумя другими устройствами. . Обычный подход - захват с устройства, которое является либо мостом, либо маршрутизатором для целевого устройства.