Ho avviato WireShark sulla mia macchina Ubuntu e ho scoperto che non c'erano interfacce che potessi ascoltare. Quindi l'ho lanciato come root. Questo mi ha dato accesso a tutte le interfacce, ma mi ha dato un avvertimento:
Esecuzione di WireShark come utente 'root' nel gruppo 'root'. Questo potrebbe essere pericoloso ...
Quindi è pericoloso? Altrimenti, come posso ascoltare le interfacce?
Risposte:
Wireshark si sta rapidamente avvicinando a due milioni di righe di codice . Non dovresti eseguirli come root per gli stessi motivi per cui non dovresti eseguire Firefox, OpenOffice, GIMP o qualsiasi altra applicazione di dimensioni simili come root.
Su Linux non è necessario essere root per acquisire i pacchetti. Hai solo bisogno dei privilegi CAP_NET_ADMIN e CAP_NET_RAW. Sulla maggior parte delle distribuzioni è facile da avviare . Ubuntu non lo fa ancora per impostazione predefinita, ma si spera che ad un certo punto in futuro .
secondo http://wiki.wireshark.org/CaptureSetup/CapturePrivileges non dovresti eseguirlo come root.
Invece, usa i privilegi di root per eseguire il dump usando dumpcap o tcpdump e poi analizzalo usando WireShark.
Wireshark ha una lunga storia di bug di sicurezza nei disettori (i plugin che descrivono come interpretare vari protocolli over-the-wire). Per questo motivo, è più sicuro eseguire le tue acquisizioni con uno strumento più semplice come tcpdump, quindi utilizzare WireShark per interpretarle come un utente senza privilegi.
Dipende davvero da cosa c'è sulla tua macchina. Usi un laptop di riserva solo per annusare? Quindi esegui come root. Se disponi di dati importanti su quella macchina, esegui tcpdump dal cli e usa WireShark per analizzare il traffico.
sudo dpkg-reconfigure wireshark-common