Uruchomiłem WireShark na moim komputerze Ubuntu i odkryłem, że nie ma interfejsów, których mógłbym słuchać. Więc uruchomiłem go jako root. To dało mi dostęp do wszystkich interfejsów, ale ostrzeżenie:
Uruchamianie WireShark jako użytkownika „root” w grupie „root”. To może być niebezpieczne ...
Czy to jest niebezpieczne? W przeciwnym razie, jak mogę słuchać interfejsów?
Odpowiedzi:
Wireshark szybko zbliża się do dwóch milionów linii kodu . Nie powinieneś uruchamiać ich jako root z tych samych powodów, dla których nie powinieneś uruchamiać Firefoksa, OpenOffice, GIMP ani innych podobnych aplikacji jak root.
W systemie Linux nie musisz być rootem, aby przechwytywać pakiety. Potrzebujesz tylko uprawnień CAP_NET_ADMIN i CAP_NET_RAW. W większości dystrybucji jest to łatwe do uruchomienia . Ubuntu nie robi tego domyślnie, ale mam nadzieję, że w pewnym momencie w przyszłości .
zgodnie z http://wiki.wireshark.org/CaptureSetup/CapturePrivileges nie należy uruchamiać go jako root.
Zamiast tego użyj uprawnień roota, aby zrzucić za pomocą zrzutu lub tcpdumpa, a następnie przeanalizować za pomocą wireshark.
Wireshark ma długą historię błędów bezpieczeństwa w odłącznikach (wtyczki, które opisują, jak interpretować różne protokoły over-the-wire). Z tego powodu bezpieczniej jest przechwytywać za pomocą prostszego narzędzia, takiego jak tcpdump, a następnie użyć wireshark, aby zinterpretować je jako nieuprzywilejowanego użytkownika.
To zależy od tego, co jest naprawdę na twoim komputerze. Czy używasz zapasowego laptopa tylko do wąchania? Następnie uruchom jako root. Jeśli masz ważne dane na tym komputerze, uruchom tcpdump z cli i użyj wireshark do analizy ruchu.
sudo dpkg-reconfigure wireshark-common