Kann Wireshark Daten lesen, die an / von anderen Computern gesendet werden?

8

Angenommen, WireShark ist auf Computer A installiert. Angenommen, ich schaue mir ein Youtube-Video auf Computer B an.

Kann WireShark sehen, was Computer B tut?

AngryHacker
quelle

Antworten:

17

Im Allgemeinen, nein, Wireshark kann diesen Verkehr nicht spüren. ErikA beschreibt warum.

Wenn Ihr Netzwerk dies jedoch unterstützt, kann das Netzwerk selbst Computer A den Datenverkehr für Computer B anzeigen und von dort aus kann Wireshark ihn abrufen. Es gibt verschiedene Möglichkeiten, um dorthin zu gelangen.

  • Gleicher Switch, gute Methode Wenn sich beide Computer im selben Netzwerk-Switch befinden und der Switch verwaltet wird, ist es wahrscheinlich möglich, ihn so zu konfigurieren, dass er den Datenverkehr für den Port von Computer B auf den Port von Computer A überspannt / spiegelt / überwacht (die Bedingungen ändern sich je nach Hersteller) . Dadurch kann Wireshark auf Computer A den Datenverkehr sehen.
  • Gleicher Switch, böse Methode Wenn sich beide Computer auf demselben Netzwerk-Switch befinden und der Switch nicht besonders sicher ist, kann ein sogenannter ARP-Spoofing-Angriff ausgeführt werden. Computer A gibt ein ARP-Paket aus, das dem Subnetz mitteilt, dass es sich tatsächlich um die Gateway-Adresse handelt, obwohl dies nicht der Fall ist. Clients, die das ARP-Paket akzeptieren, schreiben ihre IP: MAC-Adress-Nachschlagetabelle mit der darin enthaltenen falschen Adresse neu und senden den gesamten Datenverkehr außerhalb des Subnetzes an Computer B. Damit dies funktioniert, muss Computer B ihn an den senden echtes Gateway. Dies funktioniert nicht bei allen Switches, und einige Netzwerkstacks lehnen solche Vorgänge ab.
  • Gleiches Subnetz, böse Methode Wenn der Router auch nicht besonders sicher ist, funktioniert der ARP-Spoofing-Angriff für ein gesamtes Subnetz!
  • Ganz anderes Subnetz Wenn sich Computer B vollständig in einem anderen Subnetz befindet, funktioniert dies nur, wenn der Router-Kern eine Fernüberwachungslösung unterstützt. Auch hier variieren die Namen und die Netzwerktopologie muss genau richtig sein. Aber es ist möglich.

ARP-Spoofing ist die einzige Möglichkeit für einen Computer ohne spezielle Netzwerkberechtigungen, den Datenverkehr eines anderen Netzwerkknotens zu überwachen. Dies hängt davon ab, ob der Netzwerk-Switch gegen diese Art von Aktion verteidigt oder nicht. Die einfache Installation von Wireshark reicht nicht aus. Es müssen andere Maßnahmen ergriffen werden. Andernfalls geschieht dies nur, wenn das Netzwerk explizit so konfiguriert ist, dass dies möglich ist.

sysadmin1138
quelle
Gute Erklärung. Es ist spät hier und ich hatte nicht die Geduld, das alles abzutippen. :)
EEAA
Und natürlich können Sniffer den Datenverkehr in nicht geschalteten Netzwerken (z. B. Hub) erfassen.
Jweyrich
Was ist mit WiFi?
Pieter
Was ist mit ARP-Flooding, wodurch die CAM-Tabelle der Switches gefüllt wird?
Ryan Ries
4

Wenn Sie sich in einem Switched-Netzwerk befinden (was sehr wahrscheinlich ist) und Computer A nicht als Standardroute für Computer B dient (unwahrscheinlich), kann Computer A keine Pakete sehen, die für Computer B bestimmt sind.

EEAA
quelle
1
Bringen Sie die Tage des 10-MB-Hubs zum promiskuitiven Schnüffeln zurück!
Mark Henderson
Tatsächlich! Natürlich kümmert sich SPAN normalerweise ganz gut darum. :)
EEAA
Die Netzwerk-Leute von $ oldJob haben ein paar 10-MB-Hubs für einfaches Schnüffeln behalten. Funktionierte gut bei Desktop-Problemen, wenn auch heutzutage vielleicht nicht so gut.
sysadmin1138
@ sysadmin1138: Ja, ich habe auch von diesem Trick gehört. Das einzige Problem ist, es wird Ihnen mit Gigabit-Ethernet über Glasfaser nicht wirklich helfen ...
Sleske
@sleske In der Tat, in der Tat ... noch half es bei den 10-MB-Glasfaserverbindungen, die sie zu der Zeit hatten.
sysadmin1138
2

Wie Farseeker anspielte, warst du früher dazu in der Lage. Vor zehn Jahren verwendeten viele Netzwerke Hubs, die wie Switches, aber dümmer waren, da sie jedes Paket auf jeden Port reflektierten, anstatt herauszufinden, wohin jedes Paket gehen musste, und es nur dorthin zu senden. Zuvor verwendeten einige Netzwerke koaxiales Ethernet mit einem gemeinsamen Kabel (und ohne Hub oder Switch), das jeder Sender sendete und abhörte.

In beiden oben genannten Situationen könnte eine Maschine mit Ethereal (alter Name für Wireshark) tatsächlich das gesamte Netzwerk überwachen.

Obwohl diese Situation heutzutage nur für sehr wenige Netzwerke gilt, erwähne ich sie aus Gründen des Kontexts und um zu verstehen, warum die Idee, Wireshark zu verwenden, um andere zu beschnüffeln, immer noch in den Köpfen vieler Menschen ist.

Pete

Pete
quelle
0

Wenn wir sowieso böse Methoden erwähnen: Mit einigen nicht verwalteten Switches kann das Überladen der CAM-Tabelle angeblich funktionieren und ist irgendwo in tcpdump docs IIRC dokumentiert.

Rackandboneman
quelle