Necesito capturar / analizar los paquetes de otro sistema conectado a la misma red, ¿es posible con Wireshark? Tengo instalado Wireshark en mi sistema; ¿Qué opciones necesito para capturar paquetes de la otra máquina?
Necesita acceso de red a la otra máquina ...
Esto se puede lograr de varias maneras (duplicación de puertos en el conmutador, inundando la tabla MAC del conmutador para que se convierta en un concentrador, ARP falsificando el objetivo, etc.), pero la respuesta real es que usted necesita instalar Wireshark (o tshark) en la máquina de destino, u obtenga una máquina con Wireshark más cerca del tráfico de su objetivo.
Después de iniciar Wireshark, vaya a las opciones de interfaz en la barra de tareas superior, marque la interfaz que desea usar, habilite el modo promiscuo y presione capturar. Esto capturará todo el tráfico que llega.
Si desea filtrar los datos a algo como, por ejemplo, IP dirigida o un protocolo específico, consulte esta página .
Si está en la misma red, use su NIC en modo promiscous o ejecute wireshark en modo promiscus, pero en este caso obtendrá todo el tráfico de su red. Ya que usted desea específicamente capturar el tráfico de un solo sistema, por lo que sería mejor que se interponga entre ese sistema y la puerta de enlace de su red (MITM), entonces podrá detectar el tráfico.
En primer lugar, debe tener acceso y autorización para hacerlo. Si lo haces, puedes intentar esto:
Asegúrese de que su máquina permite ip_forwarding
Si emite un cat /proc/sys/net/ipv4/ip_forwarding
, debe recibir 1
como respuesta.
Su máquina debe configurarse como puerta de enlace predeterminada a la otra máquina
Esto solo funcionará para capturar tráfico a redes remotas, no a la red local.
Ejecutar Wirehark en la máquina local
Debo preguntar por qué no ejecutar wireshark directamente en la máquina remota. Será más fácil.
Bueno, no estoy seguro de si estás en Windows o Linux, pero asumiré que Windows y una red inalámbrica típica ...
Paso 1: Ejecuta Wireshark, configura tu interfaz de captura como tu tarjeta de red y asegúrate de estar en modo promiscuo. Ah, y comienza la captura ...
Paso 2: No hay ningún paso 2. A menos que su red sea conmutada o complicada (o su objetivo esté conectado al AP), debería ver todo el tráfico en su red. En general, estoy de acuerdo con @ThoriumBR. Simplemente ejecútelo en la máquina de destino ...
Lea otras preguntas en las etiquetas wireshark