Bedenken, WireShark als Root auszuführen

8

Ich habe WireShark auf meinem Ubuntu-Computer gestartet und festgestellt, dass es keine Schnittstellen gibt, die ich anhören kann. Also habe ich es als root gestartet. Dies gab mir Zugriff auf alle Schnittstellen, gab mir aber eine Warnung:

Ausführen von WireShark als Benutzer 'root' in der Gruppe 'root'. Das könnte gefährlich sein ...

Also ist es gefährlich? Wie kann ich sonst die Schnittstellen anhören?

Nathan Osman
quelle

Antworten:

4

Wireshark nähert sich schnell zwei Millionen Codezeilen . Sie sollten sie nicht aus den gleichen Gründen als root ausführen, aus denen Sie Firefox, OpenOffice, GIMP oder eine andere Anwendung ähnlicher Größe nicht als root ausführen sollten.

Unter Linux müssen Sie kein Root sein, um Pakete zu erfassen. Sie benötigen lediglich die Berechtigungen CAP_NET_ADMIN und CAP_NET_RAW. Bei den meisten Distributionen ist dies einfach in Betrieb zu nehmen . Ubuntu macht dies noch nicht standardmäßig, wird es aber hoffentlich irgendwann in der Zukunft tun .

Gerald Combs
quelle
3

Laut http://wiki.wireshark.org/CaptureSetup/CapturePrivileges sollten Sie es nicht als root ausführen.

Verwenden Sie stattdessen Root-Berechtigungen, um mit dumpcap oder tcpdump zu sichern und anschließend mit wireshark zu analysieren.

Bryan
quelle
Ah ... aber kann die Verwendung von Root-Rechten Schaden anrichten?
Nathan Osman
2
Im Allgemeinen ja / nein. Verwenden Sie root lieber nicht dort, wo Sie ohne es auskommen können. Aber wenn dies nur Ihr Heimcomputer ist und Sie Ihr Büronetzwerk / Ihre Bürorserver nicht herunterfahren, feuern Sie ab. In Bezug auf Wireshark denke ich, dass Sie sicher genug sind.
Bryan
2
es sei denn, jemand in Ihrem Netzwerk spuckt Pakete aus, die speziell dafür entwickelt wurden, Fehler in Wireshark auszunutzen. dann ist es eine schlechte, schlechte Nachricht, es als Wurzel zu verwenden.
Charles Duffy
3

Wireshark hat eine lange Geschichte von Sicherheitslücken in den Disektoren (die Plugins, die beschreiben, wie verschiedene Over-the-Wire-Protokolle interpretiert werden). Aus diesem Grund ist es sicherer, Ihre Aufnahmen mit einem einfacheren Tool wie tcpdump durchzuführen und sie dann mit wireshark als nicht privilegierten Benutzer zu interpretieren.

Charles Duffy
quelle
1

Es hängt davon ab, was wirklich auf Ihrer Maschine ist. Verwenden Sie einen Ersatz-Laptop nur zum Schnüffeln? Führen Sie dann als root aus. Wenn Sie wichtige Daten auf diesem Computer haben, führen Sie tcpdump über die CLI aus und analysieren Sie den Datenverkehr mit Wireshark.

beschleunigt Bilder
quelle