Cómo monitorear el tráfico de una red local completa mientras usa Wireshark

Wireshark es simplemente una de las muchas herramientas de captura de paquetes que funcionan en una interfaz. También puede usar tcpdump u otras herramientas de captura de paquetes. Lo que debe hacer es resolver el problema subyacente, que es que no está viendo que los paquetes lleguen a la interfaz para empezar.

Desde un único host en una red cableada:
Incluso con privilegios administrativos, no puedes. Fuimos a redes locales totalmente conmutadas hace muchos años (¿alguien recuerda los hubs?). Solo verá el tráfico destinado a su dirección MAC específica.

Desde un único host en una red inalámbrica:
Debería poder ver todo el tráfico en la red, pero el tráfico específico puede o no estar encriptado, lo que hace que las cargas útiles sean un galimatías. Sin embargo, siempre debe poder ver las direcciones de origen y de destino.

Si posee el equipo de red:
La forma en que los administradores de red generalmente monitorean una red completa que pasa a través de una puerta de enlace es configurando la duplicación de puertos (comúnmente conocida como puerto SPAN en la terminología de Cisco) en el enrutador. Si estamos hablando de un entorno basado en hipervisor, tendrá que conocer los detalles sobre el hipervisor. Por ejemplo, vSphere proporciona esta funcionalidad para VMWare.

Ahora eso no quiere decir que es imposible desde un solo host. Es muy posible que pueda utilizar la falsificación de ARP para convencer a sus pares en la red de que su host es la puerta de enlace predeterminada. Si su máquina tiene habilitado ip_forwarding, todo el tráfico de sus pares pasará a través de su máquina, se reenviará a la puerta de enlace predeterminada real y no serán más sabios.

Para monitorear el tráfico de toda la red, necesita tener ese tráfico en un solo puerto de conmutador ethernet. Esto generalmente requiere una reorganización del cable y la reconfiguración del interruptor.

No sugiero utilizar wireshark, pero para recopilar el tráfico que analizará más adelante, posiblemente con wireshark.

Las herramientas abiertas efectivas para la captura de red de Windows son windump y winpcap que son similares a linux tcpdump y libpcap.

Por lo general, necesitará una máquina con al menos dos tarjetas de Ethernet y un subsistema de disco rápido

Entre las características de los conmutadores avanzados tiene la duplicación del tráfico de puertos, también a veces llamada puertos de expansión. Esto permite tener un puerto ethernet del conmutador en el que el tráfico de algunos otros puertos se presenta como saliente (esto lo hace el conmutador) para permitir el análisis y la depuración. El puerto en el que se refleja el tráfico debe tener suficiente ancho de banda (no puede volcar de manera confiable muchos puertos de 100mbit / seg en un solo puerto de 100mbit pretendiendo no perder datos durante una actividad intensa).

En los viejos tiempos, se usaban concentradores de red para esto.
También hay formas no oficiales (ejem …) de confundir los interruptores y hacer que actúen como hubs (sobrecarga de la leva), pero hacerlo produce graves impactos.

Después de configurar todo, necesita un área de disco donde almacenar sus capturas. Tenga en cuenta que un puerto de 1 gbit podría producir 80-100 mbytes / seg y necesita un almacenamiento capaz de mantenerse al día.

Para comenzar, realice muestreos de algunos segundos y luego disfrute de la belleza del filtrado (escuche todo pero solo tome algo)

Para capturar wifi, solo abarque los puertos del conmutador donde están conectados los puntos de acceso.

Un ejemplo de comando windump simple

Windump -i 3 -n -s 0 -w dns.cap tcp puerto 53 o udp puerto 53

Esto volcará solo las consultas y respuestas dns.

Luego analiza el archivo dns.cap con wireshark

¡Que te diviertas!
@mgua

Si carece de control administrativo sobre la infraestructura física a la que se está conectando, es probable que solo vea tráfico de unidifusión hacia / desde su host y transmisiones de capa 2. Así es como funcionan las redes Ethernet conmutadas.

Para recibir tráfico de todos los hosts, debe: a) tener todos los dispositivos conectados a un concentrador, o b) configurar el ANALIZADOR DE PUERTO DEL CONMUTADOR (SPAN) en la interfaz del conmutador a la que está conectada su computadora y obtener el SPAN desde la VLAN. sus hosts están conectados a Para obtener información específica sobre cómo lograr esto, se necesita más información sobre el equipo utilizado para conectar todos los hosts.

Respuesta corta. Y supongo que ya ha configurado su adaptador de red en modo promiscuo. Hay dos maneras:

1. La forma de administrador: configure un puerto SPAN (monitoreo) en su conmutador.

2. La forma hacker “ética”: utiliza un método llamado envenenamiento por ARP.

Obviamente, no es necesario que haga todo eso si estuviera utilizando un antiguo concentrador de moda, ya que envía todo el tráfico a todos los puertos. A diferencia de un interruptor.

Para agregar a la respuesta de Adrian Lamo. He escrito un script de PowerShell para darle acceso al Administrador en Windows. Puede obtenerlo aquí: KeyKrusher / OpenSourceWare

La respuesta a su pregunta es la duplicación de puertos mediante la cual puede monitorear el tráfico de una VLAN completa dependiendo del conmutador o enrutador que se esté utilizando.