Wireshark Packet Capture

0

Necesito capturar / analizar los paquetes de otro sistema conectado a la misma red, ¿es posible con Wireshark? Tengo instalado Wireshark en mi sistema; ¿Qué opciones necesito para capturar paquetes de la otra máquina?

    
pregunta Gowtham 14.10.2014 - 17:35
fuente

6 respuestas

1

Necesita acceso de red a la otra máquina ...

Esto se puede lograr de varias maneras (duplicación de puertos en el conmutador, inundando la tabla MAC del conmutador para que se convierta en un concentrador, ARP falsificando el objetivo, etc.), pero la respuesta real es que usted necesita instalar Wireshark (o tshark) en la máquina de destino, u obtenga una máquina con Wireshark más cerca del tráfico de su objetivo.

    
respondido por el schroeder 14.10.2014 - 17:42
fuente
1

Después de iniciar Wireshark, vaya a las opciones de interfaz en la barra de tareas superior, marque la interfaz que desea usar, habilite el modo promiscuo y presione capturar. Esto capturará todo el tráfico que llega.

Si desea filtrar los datos a algo como, por ejemplo, IP dirigida o un protocolo específico, consulte esta página .

    
respondido por el Dropout 15.10.2014 - 14:17
fuente
0

Si está en la misma red, use su NIC en modo promiscous o ejecute wireshark en modo promiscus, pero en este caso obtendrá todo el tráfico de su red. Ya que usted desea específicamente capturar el tráfico de un solo sistema, por lo que sería mejor que se interponga entre ese sistema y la puerta de enlace de su red (MITM), entonces podrá detectar el tráfico.

    
respondido por el P4cK3tHuNt3R 14.10.2014 - 18:56
fuente
0

En primer lugar, debe tener acceso y autorización para hacerlo. Si lo haces, puedes intentar esto:

  1. Asegúrese de que su máquina permite ip_forwarding

    Si emite un cat /proc/sys/net/ipv4/ip_forwarding , debe recibir 1 como respuesta.

  2. Su máquina debe configurarse como puerta de enlace predeterminada a la otra máquina

    Esto solo funcionará para capturar tráfico a redes remotas, no a la red local.

  3. Ejecutar Wirehark en la máquina local

Debo preguntar por qué no ejecutar wireshark directamente en la máquina remota. Será más fácil.

    
respondido por el ThoriumBR 14.10.2014 - 19:21
fuente
0

Si puede arp-spoof con éxito la máquina de destino que es la misma red, puede ejecutar wireshark en su computadora y debería poder capturar el tráfico desde / hacia la máquina de destino.

enlace

    
respondido por el Grimmjow 14.10.2014 - 21:30
fuente
0

Bueno, no estoy seguro de si estás en Windows o Linux, pero asumiré que Windows y una red inalámbrica típica ...

Paso 1: Ejecuta Wireshark, configura tu interfaz de captura como tu tarjeta de red y asegúrate de estar en modo promiscuo. Ah, y comienza la captura ...

Paso 2: No hay ningún paso 2. A menos que su red sea conmutada o complicada (o su objetivo esté conectado al AP), debería ver todo el tráfico en su red. En general, estoy de acuerdo con @ThoriumBR. Simplemente ejecútelo en la máquina de destino ...

    
respondido por el KnightOfNi 15.10.2014 - 02:06
fuente

Lea otras preguntas en las etiquetas