Wireshark 可以读取发送到/来自其他计算机的数据吗？

Question

假设 WireShark 安装在计算机 A 上。假设我正在计算机 B 上观看 Youtube 视频。

WireShark 可以看到计算机 B 在做什么吗？

Answer 1

一般来说，不，Wireshark 无法感知流量。ErikA 描述了原因。

但是...如果您的网络支持它，网络本身可以向计算机 A 显示计算机 B 的流量，然后 Wireshark 可以从那里获取它。有几种方法可以让它到达那里。

• 相同的交换机，好方法如果两台计算机都在同一个网络交换机上，并且交换机受到管理，则可能可以将其配置为将计算机 B 的端口的流量跨/镜像/监视（术语随供应商而变化）到计算机 A 的端口. 这将允许计算机 A 上的 Wireshark 查看流量。
• 相同的交换机，邪恶的方法如果两台计算机都在同一个网络交换机上，并且交换机不是非常安全，就有可能执行所谓的 ARP 欺骗攻击。计算机 A 发出一个 ARP 数据包，告诉子网它实际上是网关地址，即使它不是。接受 ARP 数据包的客户端使用其中的错误地址重写其 IP:MAC 地址查找表，然后继续将所有子网外流量发送到计算机 B。为此，计算机 B 必须将其发送到计算机 B。真正的网关。这并不适用于所有交换机，并且一些网络堆栈拒绝这种事情。
• 相同的子网，邪恶的方法如果路由器也不是非常安全，则 ARP 欺骗攻击将适用于整个子网！
• 完全不同的子网如果计算机 B完全位于不同的子网上，则唯一可行的方法是路由器核心是否支持远程监控解决方案。同样，名称各不相同，网络拓扑必须恰到好处。但这是可能的。

ARP 欺骗是没有特殊网络权限的计算机嗅探另一个网络节点流量的唯一方法，这取决于网络交换机是否防御这种行为。仅仅安装 Wireshark 是不够的，还需要采取其他一些措施。否则，它只会在网络明确配置为让它发生时发生。