Supposons que WireShark est installé sur l'ordinateur A. Et disons que je regarde une vidéo Youtube sur l'ordinateur B.
Est-ce que WireShark peut voir ce que fait l'ordinateur B?
Réponses
Trop de publicités?
En général, non, Wireshark ne peut pas détecter ce trafic. ErikA explique pourquoi.
Cependant... si votre réseau le permet, le réseau lui-même peut montrer à l'ordinateur A le trafic de l'ordinateur B, et à partir de là Wireshark peut le capturer. Il existe plusieurs façons d'y parvenir.
- Même switch, bonne méthode Si les deux ordinateurs sont sur le même commutateur réseau, et que le commutateur est géré, il est probablement possible de le configurer pour transmettre/ miroiter/ surveiller (les termes changent selon le fournisseur) le trafic du port de l'ordinateur B sur le port de l'ordinateur A. Cela permettra à Wireshark sur l'ordinateur A de voir le trafic.
- Même switch, méthode malveillante Si les deux ordinateurs sont sur le même commutateur réseau, et que le commutateur n'est pas très sécurisé, il est possible de réaliser ce qu'on appelle une attaque de Spoofing ARP. L'ordinateur A envoie un paquet ARP indiquant au sous-réseau qu'il est en réalité l'adresse de la passerelle, même si ce n'est pas le cas. Les clients qui acceptent le paquet ARP réécrivent leur table de recherche IP: adresse MAC avec la mauvaise adresse, et continuent à envoyer tout le trafic hors du sous-réseau vers l'ordinateur B. Pour que cela fonctionne, l'ordinateur B doit alors l'envoyer à la véritable passerelle. Cela ne fonctionne pas sur tous les commutateurs, et certaines piles de protocoles réseau rejettent ce type de chose.
- Même sous-réseau, méthode malveillante Si le routeur n'est pas très sécurisé non plus, l'attaque de Spoofing ARP fonctionnera pour l'ensemble du sous-réseau !
- Sous-réseau complètement différent Si l'ordinateur B est sur un sous-réseau complètement différent, la seule façon que cela fonctionne est si le cœur du routeur prend en charge une solution de surveillance à distance. Encore une fois, les noms varient, et la topologie réseau doit être juste. Mais c'est possible.
Le Spoofing ARP est la seule façon pour un ordinateur sans privilèges réseau spéciaux de surveiller le trafic d'un autre nœud réseau, et cela dépend du fait que le commutateur réseau se défende contre ce type d'action. Simplement installer Wireshark ne suffit pas, une autre action doit être entreprise. Sinon, cela ne se produira que lorsque le réseau est explicitement configuré pour le permettre.
Samat Jain
Points
165
Pete
Points
21
Comme Farseeker l'a laissé entendre, vous étiez capable de le faire. Il y a dix ans, de nombreux réseaux utilisaient des concentrateurs, qui étaient comme des commutateurs mais plus bêtes, en ce sens qu'ils reflétaient chaque paquet sur chaque port au lieu de déterminer où chaque paquet devait aller et de l'envoyer uniquement là-bas. Avant cela, certains réseaux utilisaient Ethernet coaxial avec un câble commun (et aucun concentrateur ou commutateur) sur lequel chaque station diffusait et écoutait.
Dans les deux situations ci-dessus, une machine avec Ethereal (ancien nom de Wireshark) pouvait en effet espionner tout le réseau.
Bien que cette situation s'applique à très peu de réseaux de nos jours, je la mentionne pour le contexte et pour comprendre pourquoi l'idée d'utiliser Wireshark pour espionner les autres est toujours dans la tête de nombreuses personnes.
Pete
dmh2000
Points
380
