Я запустив WireShark на своїй машині Ubuntu і виявив, що немає інтерфейсів, які я міг би слухати. Тому я запустив його як root. Це дало мені доступ до всіх інтерфейсів, але подало попередження:
Запуск WireShark як користувача 'root' у групі 'root'. Це може бути небезпечно ...
Отже, чи небезпечно це? В іншому випадку, як я можу слухати інтерфейси?
Відповіді:
Wireshark швидко наближається до двох мільйонів рядків коду . Не слід запускати їх як корінь з тих же причин, що не слід запускати Firefox, OpenOffice, GIMP або будь-яку іншу програму аналогічного розміру як root.
В Linux вам не потрібно мати root для збору пакетів. Вам просто потрібні права CAP_NET_ADMIN та CAP_NET_RAW. У більшості дистрибутивів це легко встати та працювати . Ubuntu ще не робить цього за замовчуванням, але, сподіваємось, це станеться у якийсь момент у майбутньому .
згідно з http://wiki.wireshark.org/CaptureSetup/CapturePrivileges, ви не повинні запускати його як root.
Замість цього використовуйте root права, щоб скинути за допомогою dumpcap або tcpdump, а потім проаналізуйте за допомогою wireshark.
Wireshark має давню історію помилок у захисних пристроях (плагіни, які описують, як інтерпретувати різні протоколи протоколу). З цієї причини безпечніше виконувати свої зйомки за допомогою більш простого інструменту, такого як tcpdump, а потім використовувати wireshark, щоб інтерпретувати їх як непривілейованого користувача.
Це залежить від того, що насправді на вашій машині. Чи використовуєте ви запасний ноутбук лише для нюхання? Потім запустіть як root. Якщо у вас є важливі дані на цій машині, тоді запустіть tcpdump із кліпу та використовуйте дротик для аналізу трафіку.
sudo dpkg-reconfigure wireshark-common