En Linux, sí SOLO si ha habilitado la captura de paquetes en la interfaz de bucle invertido.
TL; DR:
Así es como funciona Wireshark:
- ¿Cuál es la vida de una solicitud (POST / GET) que se origina en un navegador hasta que llega a su servidor de destino?
- ¿Qué es la capa de transporte?
- ¿Puedo rastrear la ubicación de alguien si tengo su dirección IP y su latitud y longitud? En caso afirmativo, ¿cómo hago eso?
- ¿Cuáles son las ventajas y desventajas de implementar seguridad en diferentes capas como la capa de aplicación, etc.?
- ¿Qué causa una pérdida de paquetes del 100% y cómo se puede solucionar este problema?
Wireshark en realidad se encuentra en la parte superior de una biblioteca de espacio de usuario llamada “libpcap”. Sin entrar en demasiados detalles, esto se coordina con una capa entre la pila de red de su sistema operativo (el lugar en el núcleo donde se implementan los protocolos TCP, IP, UDP, ICMP y ARP reales) y las tarjetas de interfaz de red llamadas Berkeley Packet Filter. Esto es lo que realmente intercepta su paquete dependiendo de los campos [1] en él. Entonces, si su sistema operativo decide enviar esto a su tarjeta de red, verá los paquetes. Pero Loopback se implementa como parte de la pila de red en sí, por lo que a menos que elija ver los paquetes en la interfaz de bucle invertido, no los verá incluso si hace ping a una de las IP de sus interfaces.
Parece que no puedes ver los paquetes si te haces ping en Windows debido a alguna limitación. No puedo comentar más sobre esto, ya que no estoy muy al tanto de los aspectos internos de las redes de Windows. Puede encontrar más información sobre esto aquí: CaptureSetup / Loopback – The Wireshark Wiki.
Ahora para aclarar tus confusiones:
ARP es un protocolo de descubrimiento desde el cual generalmente se calculan las direcciones MAC de otros hosts en su subred [2]. Transmitirá mensajes como “¿Quién tiene IP: 192.168.112.145?” a todos los pares de la red, alguien volverá a usted y les dirá ” tiene “.
Pero el ping se puede usar para determinar si la pila de red de un determinado host está activa incluso si no está en la misma subred. Puede hacer ping incluso a Google, que definitivamente no está en su subred (si no está trabajando para Google).
Verá [*] un paquete ARP cuando intente hacer ping a alguien en su propia subred seguido de solicitudes ICMP.
También para tener en cuenta que si la red del host está muerta, no recibirá una respuesta ICMP o ARP.
[1] HowStuffWorks “Estructura de paquetes de red”
[2] Subred
[*] Las entradas ARP se almacenan en caché, por lo que después de la primera vez usarás esa entrada en caché durante algún tiempo. Por lo tanto, otra solicitud ARP podría no salir hasta que la entrada en caché se vuelva obsoleta.