要正确分析两台计算机之间的流量，wireshark需要使用第三台笔记本还是两台中的一台？

Question

机器(或VM) A<

我想用Wireshark来捕捉在同一网络上的两台机器之间的通信量，看看它是否真的安全。这其中哪一种是正确的方案，还是说只要Wireshark在同一个网络上，这真的很重要？

场景1:机器A<-机器C+ wireshark -机器C+ wireshark -机器C+wireshark

我的理解是，Wireshark将查看专用于其MAC地址或网卡的流量。这意味着这很重要，wireshark应该放在场景1中，否则在场景2中，Wireshark将能够看到透明的通信量！

Answer 1

对于您的两个场景：

场景1

               wireshark box
                     |
machine A -- [network device] -- machine B

Note__：机器可以是裸金属或VM。网络设备可以是物理的，也可以是模拟的/软件定义的。

如果network device是一个网络中心，那么wireshark将能够嗅探machine A和machine B之间的所有网络流量。

如果network device是交换机，那么wireshark box将需要使用主动攻击(无论是在交换机上还是在其他机器上)才能获得通信量。

运行wireshark的机箱的网卡应该在混杂模式中(接受所有流量，甚至不是有意为wireshark的框设置的流量)。

场景2

machine A + wireshark -- [network device] -- machine B

在这里，network device不起任何作用，因为wireshark使用与machine A相同的网络接口，因此可以嗅探流经它的所有流量。

要回答您的问题，wireshark是否可以看到明文中的通信量，取决于是否使用加密以及加密的类型/设置。

例如，即使在场景2中，wireshark也无法看到明文中的TLS受保护的通信量(正如您在问题中所设想的那样)，因为TLS是应用程序之间的点对点；这意味着通信量到达加密的目标应用程序并由应用程序本身解密。