Беспокойство по поводу запуска WireShark от имени root


8

Я запустил WireShark на своем компьютере с Ubuntu и обнаружил, что нет никаких интерфейсов, которые я мог бы слушать. Поэтому я запустил его как root. Это дало мне доступ ко всем интерфейсам, но дало мне предупреждение:

Запуск WireShark от имени пользователя root в группе root. Это может быть опасно ...

Так это опасно? В противном случае, как я могу слушать интерфейсы?


Ответы:


4

Wireshark быстро приближается к двум миллионам строк кода . Не следует запускать их как root по тем же причинам, по которым вы не должны запускать Firefox, OpenOffice, GIMP или любое другое приложение аналогичного размера в качестве root.

В Linux вам не нужно быть пользователем root для захвата пакетов. Вам просто нужны привилегии CAP_NET_ADMIN и CAP_NET_RAW. В большинстве дистрибутивов это легко запустить и запустить . Ubuntu пока не делает этого по умолчанию, но, надеюсь, когда- нибудь в будущем .


3

в соответствии с http://wiki.wireshark.org/CaptureSetup/CapturePrivileges вы не должны запускать его как root.

Вместо этого используйте привилегии root для создания дампа с помощью dumpcap или tcpdump, а затем анализируйте с помощью wireshark.


Ах ... но может ли быть вред от использования привилегий root?
Натан Осман

2
В общем да / нет. Лучше не использовать root, где вы можете обойтись без него. Но если это всего лишь ваш домашний компьютер, и вы не собираетесь отключать свою офисную сеть / серверы, отстреливайтесь. Что касается Wireshark, я думаю, вы будете в безопасности.
Брайан

2
если кто-то в вашей сети не извергает пакеты, специально созданные для использования ошибок в wireshark; затем использовать его как root - это плохо, плохие новости.
Чарльз Даффи

3

Wireshark имеет долгую историю ошибок безопасности в секторах (плагины, которые описывают, как интерпретировать различные беспроводные протоколы). По этой причине безопаснее выполнять захват с помощью более простого инструмента, такого как tcpdump, а затем использовать wireshark, чтобы интерпретировать их как непривилегированного пользователя.


1

Это зависит от того, что на вашей машине на самом деле. Вы используете запасной ноутбук только для того, чтобы понюхать? Затем запустите от имени пользователя root. Если у вас есть важные данные на этом компьютере, запустите tcpdump из cli и используйте wireshark для анализа трафика.

Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.