ฉันเริ่มWireSharkบนเครื่อง Ubuntu ของฉันและพบว่าไม่มีส่วนต่อประสานที่ฉันสามารถฟังได้ ดังนั้นฉันเปิดตัวมันเป็นราก สิ่งนี้ทำให้ฉันเข้าถึงอินเทอร์เฟซทั้งหมด แต่ให้คำเตือน:
เรียกใช้ WireShark ในฐานะผู้ใช้ 'รูท' ในกลุ่ม 'รูท' สิ่งนี้อาจเป็นอันตราย ...
มันอันตรายไหม? มิฉะนั้นฉันจะฟังอินเตอร์เฟสได้อย่างไร
คำตอบ:
Wireshark เป็นอย่างรวดเร็วใกล้สองล้านบรรทัดของรหัส คุณไม่ควรเรียกใช้เป็นรูทด้วยเหตุผลเดียวกับที่คุณไม่ควรรัน Firefox, OpenOffice, GIMP หรือแอปพลิเคชันขนาดใกล้เคียงอื่น ๆ ในฐานะรูท
บน Linux คุณไม่จำเป็นต้องรูทเพื่อจับแพ็คเก็ต คุณเพียงแค่ต้องการสิทธิ์ CAP_NET_ADMIN และ CAP_NET_RAW ในการกระจายส่วนใหญ่นี้เป็นเรื่องง่ายที่จะได้รับและทำงาน อูบุนตูไม่ทำเช่นนี้โดยเริ่มต้น แต่ก็หวังว่าจะจุดในอนาคตบาง
ตามhttp://wiki.wireshark.org/CaptureSetup/CapturePrivilegesคุณไม่ควรเรียกใช้เป็นรูท
ใช้สิทธิ์ของรูทแทนเพื่อดัมพ์โดยใช้ dumpcap หรือ tcpdump จากนั้นวิเคราะห์โดยใช้ wireshark
Wireshark มีประวัติอันยาวนานของข้อบกพร่องด้านความปลอดภัยใน disectors (ปลั๊กอินที่อธิบายถึงวิธีการตีความโปรโตคอล over-the-wire ต่างๆ) ด้วยเหตุนี้จึงปลอดภัยกว่าที่จะทำการจับภาพด้วยเครื่องมือที่ง่ายกว่าเช่น tcpdump จากนั้นใช้ wireshark เพื่อแปลความหมายของพวกเขาในฐานะผู้ใช้ที่ไม่มีสิทธิ์
มันขึ้นอยู่กับสิ่งที่อยู่ในเครื่องของคุณจริงๆ คุณใช้แล็ปท็อปสำรองเพื่อดมหรือไม่ จากนั้นเรียกใช้เป็นราก หากคุณมีข้อมูลสำคัญในเครื่องนั้นให้รัน tcpdump จาก cli และใช้ wireshark เพื่อวิเคราะห์ปริมาณการใช้งาน
sudo dpkg-reconfigure wireshark-common