Wireshark peut-il lire les données envoyées vers / depuis d'autres ordinateurs?

Disons que WireShark est installé sur l'ordinateur A. Et disons que je regarde une vidéo Youtube sur l'ordinateur B.

WireShark peut-il voir ce que fait l'ordinateur B?

En général, non, Wireshark ne peut pas détecter ce trafic. ErikA explique pourquoi.

Cependant ... si votre réseau le prend en charge, le réseau lui-même peut montrer à l'ordinateur A le trafic de l'ordinateur B, et à partir de là, Wireshark peut le récupérer. Il existe plusieurs façons d'y arriver.

• Même commutateur, bonne méthode Si les deux ordinateurs sont sur le même commutateur réseau et que le commutateur est géré, il est probablement possible de le configurer pour couvrir / mettre en miroir / surveiller (les termes changent avec le fournisseur) le trafic du port de l'ordinateur B sur le port de l'ordinateur A . Cela permettra à Wireshark sur l'ordinateur A de voir le trafic.
• Même commutateur, méthode malveillante Si les deux ordinateurs sont sur le même commutateur réseau et que le commutateur n'est pas très sécurisé, il est possible d'effectuer ce que l'on appelle une attaque ARP Spoofing. L'ordinateur A émet un paquet ARP indiquant au sous-réseau qu'il s'agit bien de l'adresse de passerelle, même si ce n'est pas le cas. Les clients qui acceptent le paquet ARP réécrivent leur table de recherche IP: adresse MAC avec la mauvaise adresse, et continuent d'envoyer tout le trafic hors sous-réseau à l'ordinateur B. Pour que cela fonctionne, l'ordinateur B doit ensuite l'envoyer à la véritable passerelle. Cela ne fonctionne pas sur tous les commutateurs, et certaines piles réseau rejettent ce genre de chose.
• Même sous-réseau, méthode maléfique Si le routeur n'est pas non plus très sécurisé, l'attaque ARP Spoofing fonctionnera pour un sous-réseau entier!
• Sous-réseau différent entièrement Si l'ordinateur B se trouve entièrement sur un sous-réseau différent, la seule façon de fonctionner est que le cœur du routeur prend en charge une solution de surveillance à distance. Encore une fois, les noms varient et la topologie du réseau doit être juste. Mais c'est possible.

ARP Spoofing est le seul moyen pour un ordinateur sans privilèges réseau spéciaux de renifler le trafic d'un autre nœud de réseau, et cela dépend si le commutateur réseau se défend ou non contre ce type d'action. Il ne suffit pas d'installer Wireshark, une autre action doit être entreprise. Sinon, cela ne se produira que lorsque le réseau est explicitement configuré pour que cela se produise.

Si vous êtes sur un réseau commuté (ce qui est très probable), et à moins que l'ordinateur A ne serve de route par défaut pour l'ordinateur B (peu probable), alors non, l'ordinateur A ne pourra pas voir les paquets destinés à l'ordinateur B.

Comme Farseeker y a fait allusion, vous pouviez le faire. Il y a dix ans, de nombreux réseaux utilisaient des concentrateurs, qui étaient comme des commutateurs mais plus stupides, en ce sens qu'ils reflétaient chaque paquet sur chaque port au lieu de déterminer où chaque paquet devait aller et de ne l'envoyer que là-bas. Avant cela, certains réseaux utilisaient Ethernet coaxial avec un câble commun (et sans concentrateur ni commutateur) que chaque station diffusait et écoutait.

Dans les deux situations ci-dessus, une machine avec Ethereal (ancien nom de Wireshark) pourrait en effet espionner l'ensemble du réseau.

Bien que cette situation s'applique à très peu de réseaux de nos jours, je le mentionne pour le contexte et pour comprendre pourquoi l'idée d'utiliser Wireshark pour espionner les autres est encore dans la tête de beaucoup de gens.

Pete

Si nous mentionnons quand même des méthodes diaboliques: avec certains commutateurs non gérés, la surcharge de la table CAM peut soi-disant fonctionner, et est documentée quelque part dans les documents tcpdump IIRC.