¿Puedo escuchar el tráfico de una IP remota usando Wireshark? (Hombre en el medio)

Si está utilizando un puerto span en un switch o algo similar (hub, wifi), puede ver todo el tráfico. En Wirehark, puedes configurar un filtro de visualización como:

ip.src == 10.43.54.65 or ip.dst == 10.43.54.65

Si por control remoto quiere decir "en mi LAN local pero no en mí", la respuesta es posiblemente; Si por control remoto quiere decir "en una LAN remota", la respuesta es "No, no con Wireshark". Estaría buscando algo como una sonda de red con capacidades RMON.

Puede usar un puerto Span o Mirrored como Lucas señala o podría forzar al interruptor para que comience a reenviar paquetes de varias maneras.

Antes de continuar con más de una respuesta para la posibilidad # 1, permítame declarar claramente que lo que estoy sugiriendo debe hacerse solo con permiso e inicialmente en un entorno de prueba. De lo contrario, podría ser ilegal, posiblemente despedirte e incluso hacer que los sistemas no funcionen.

Un método es comenzar a enviar avisos no solicitados que indican que la máquina cuyo tráfico desea rastrear se encuentra realmente en su dirección MAC. Sin embargo, antes de iniciar una prueba de este tipo, deberá verificar que ha habilitado el reenvío en su sistema y luego reenviar activamente esos paquetes a la dirección MAC original. Esto se puede lograr mediante la creación de una entrada ARP estática en su tabla ARP local para el host que está olfateando. Si no lo hace, su sistema "comerá" los paquetes y el host que está olfateando no podrá recibir paquetes.

Un segundo método consiste simplemente en generar un gran número de respuestas ARP no solicitadas, buscando anular la tabla CAM en el conmutador. Estos suelen ser un máximo de alrededor de 4096 direcciones. Dependiendo del dispositivo, el switch comenzará a transmitir todo el tráfico a todos los puertos.

Se puede usar una herramienta como Yersinia o Ettercap para llevar a cabo ambas estrategias.

Las dos respuestas anteriores son absolutamente correctas: no. Simplemente me gustaría agregar que la RAZÓN de que son correctas es la siguiente: la forma en que Wireshark funciona (y no es MITM, por cierto) es simplemente "escucha" cualquier paquete que haya sido "enviado" a su enrutador, y entonces los "recibe". Nunca interfiere con el enrutador o con el remitente. Debe al menos estar lo suficientemente cerca del enrutador para "recibir" los paquetes que se le envían. La mayoría de los enrutadores también cifran automáticamente su tráfico en cualquier máquina conectada a ellos, por lo que es muy probable que tenga que estar conectado a su red de destino. Odio decepcionar.

Si tiene acceso a la máquina remota, puede lograr esto instalando el software de captura de paquetes (por ejemplo, tcpdump) en la máquina remota y enviándole la salida del software a través de un canal establecido (por ejemplo, SSH) en su instancia local de Wireshark. No hace falta decir que debe filtrar el tráfico de tuberías en el software de captura de paquetes para evitar atascar el sistema remoto.