Ho bisogno di catturare / analizzare i pacchetti di un altro sistema connesso alla stessa rete, è possibile con Wireshark? Ho installato Wireshark sul mio sistema; quali opzioni sono necessarie per acquisire i pacchetti dell'altro computer?
Hai bisogno dell'accesso di rete all'altro computer ...
Questo può essere ottenuto in pochi modi (mirroring delle porte sullo switch, flooding della tabella MAC dello switch in modo che diventi un hub, ARP che spoofing il target, ecc.), ma la vera risposta è che è necessario installare Wireshark (o tshark) sul computer di destinazione o ottieni una macchina con Wireshark più vicino al traffico del tuo target.
Dopo aver lanciato Wireshark, accedi alle opzioni dell'interfaccia nella barra delle applicazioni in alto, controlla l'interfaccia che vuoi usare, attiva la modalità promiscua e premi cattura. Questo catturerà tutto il traffico che passa attraverso.
Se vuoi filtrare i dati su qualcosa come ad esempio l'IP mirato o un protocollo specifico, fai riferimento a questa pagina .
Se ci si trova nella stessa rete, utilizzare la scheda NIC in modalità Promiscous o eseguire wireshark in modalità Promiscus, ma in questo caso si otterrà tutto il traffico della rete. Dal momento che si desidera catturare il traffico di un solo sistema in modo che sia meglio sedersi tra quel sistema e il gateway della propria rete (MITM), allora si sarà in grado di fiutare il traffico.
Prima di tutto, devi avere accesso e autorizzazione per farlo. Se lo fai, puoi provare questo:
Verifica che la tua macchina consenta ip_forwarding
Se emetti un cat /proc/sys/net/ipv4/ip_forwarding
, devi ricevere 1
come risposta.
La tua macchina deve essere impostata come gateway predefinito sull'altra macchina
Funzionerà solo per catturare il traffico verso reti remote, non verso la rete locale.
Esegui wireshark sulla macchina locale
Devo chiedere perché non eseguire wireshark direttamente sulla macchina remota. Sarà più facile.
Beh, non sono sicuro che tu sia su Windows o Linux, ma presumo Windows e una tipica rete wireless ...
Passaggio 1: esegui Wireshark, imposta l'interfaccia di cattura come scheda di rete e assicurati di essere in modalità promiscua. Oh, e inizia la cattura ...
Passaggio 2: non c'è passaggio 2. A meno che la rete non sia cambiata o complicata in altro modo (o il target sia collegato all'AP), dovresti vedere tutto il traffico sulla tua rete. Nel complesso, sono d'accordo con @ThoriumBR. Basta eseguirlo sul computer di destinazione ...
Leggi altre domande sui tag wireshark