O Wireshark pode ler os dados enviados para / de outros computadores?

Digamos que o WireShark esteja instalado no computador A. E digamos que estou vendo um vídeo do Youtube no computador B.

O WireShark pode ver o que o computador B está fazendo?

Em geral, não, o Wireshark não consegue detectar esse tráfego. ErikA descreve o porquê.

No entanto ... se sua rede suportar, a própria rede poderá mostrar ao Computador A o tráfego do Computador B e, a partir daí, o Wireshark poderá obtê-lo. Existem várias maneiras de chegar lá.

• Mesmo comutador, bom método Se os dois computadores estiverem no mesmo comutador de rede e o comutador for gerenciado, provavelmente é possível configurá-lo para expandir / espelhar / monitorar (os termos mudam com o fornecedor) o tráfego da porta do Computador B na porta do Computador A . Isso permitirá que o Wireshark no computador A veja o tráfego.
• Mesmo comutador, método incorreto Se os dois computadores estiverem no mesmo comutador de rede e o comutador não for muito seguro, é possível executar o que é conhecido como ataque de falsificação de ARP. O computador A emite um pacote ARP informando à sub-rede que ele é realmente o endereço do gateway, mesmo que não seja. Os clientes que aceitam o pacote ARP reescrevem sua tabela de pesquisa IP: Endereço MAC com o endereço incorreto e continuam enviando todo o tráfego fora da sub-rede ao Computador B. Para que isso funcione, o Computador B precisa enviá-lo para o diretório gateway real. Isso não funciona em todos os comutadores, e algumas pilhas de rede rejeitam esse tipo de coisa.
• Mesma sub-rede, método maligno Se o roteador também não é muito seguro, o ataque ARP Spoofing funcionará para uma sub-rede inteira!
• Totalmente diferente de sub-rede Se o Computador B estiver totalmente em uma sub-rede diferente, a única maneira de funcionar é se o núcleo do roteador suportar uma solução de monitoramento remoto. Novamente, os nomes variam e a topologia da rede precisa estar correta. Mas é possível.

A falsificação de ARP é a única maneira de um computador sem privilégios de rede especiais capturar o tráfego de outro nó da rede, e isso depende se a chave de rede se defende ou não contra esse tipo de ação. Simplesmente instalar o Wireshark não é suficiente; algumas outras ações precisam ser tomadas. Caso contrário, isso só acontecerá quando a rede estiver configurada explicitamente para permitir que isso aconteça.

Se você estiver em uma rede comutada (o que é altamente provável) e a menos que o computador A esteja servindo como rota padrão para o computador B (improvável), então não, o computador A não poderá ver os pacotes destinados ao computador B.

Como Farseeker aludiu, você costumava ser capaz. Dez anos atrás, muitas redes usavam hubs, que eram como switches, mas eram mais pesados, pois refletiam todos os pacotes em todas as portas, em vez de descobrir onde cada pacote precisava ir e enviá-lo apenas para lá. Antes disso, algumas redes usavam ethernet coaxial com um cabo comum (e nenhum hub ou switch) que todas as estações transmitiam e ouviam.

Nas duas situações acima, uma máquina com Ethereal (nome antigo para Wireshark) poderia de fato bisbilhotar toda a rede.

Embora essa situação se aplique a muito poucas redes atualmente, eu a menciono para contexto e para entender por que a idéia de usar o Wireshark para bisbilhotar outras pessoas ainda está na cabeça de muitas pessoas.

Pete

Se estamos mencionando métodos maliciosos de qualquer maneira: com alguns switches não gerenciados, sobrecarregar a tabela CAM supostamente funciona e está documentado em algum lugar no tcpdump docs IIRC.