Je peux sniffer le trafic de mon pc local mais j'aimerais savoir comment je peux sniffer le trafic d'une machine distante avec wireshark ?
Lorsque, dans l'option de capture, je sélectionne l'interface distante et que j'entre mon adresse IP distante, j'obtiens le code d'erreur (10061). Que dois-je faire ?
Vous ne pouvez renifler que le trafic qui vous parvient. Ainsi, Joe A allant vers Joe B ne s'approche jamais de votre PC, et vous ne pouvez donc pas le voir.
Le seul moyen pour vous est d'accéder au trafic ou d'amener le trafic à vous. Pour accéder au trafic, il faut se connecter à un routeur, à un bon commutateur ou à un concentrateur quelque part au milieu de leur connexion. Pour que le trafic vous parvienne, vous devrez empoisonner par ARP certains des commutateurs afin qu'ils pensent que vous êtes le leur.
En plus des réponses précédentes, version avec netcat nc pourrait également s'avérer utile :
mkfifo /tmp/mypcap.fifo
tcpdump -i em0 -s 0 -U -w - > /tmp/mypcap.fifo
nc -l 10000 < /tmp/mypcap.fifo
wireshark -ki <(nc 192.168.1.1 10000)
Note concernant cette méthode : Le port non sécurisé est ouvert à toutes les interfaces. Veillez donc à filtrer les connexions entrantes à l'aide de règles de pare-feu.
SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.
