J'ai démarré WireShark sur ma machine Ubuntu et découvert qu'il n'y avait aucune interface que je pouvais écouter. Je l'ai donc lancé en tant que root. Cela m'a donné accès à toutes les interfaces, mais m'a donné un avertissement:
Exécution de WireShark en tant qu'utilisateur 'root' dans le groupe 'root'. Cela pourrait être dangereux ...
Alors, est-ce dangereux? Sinon, comment écouter les interfaces?
Réponses:
Wireshark approche rapidement deux millions de lignes de code . Vous ne devez pas les exécuter en tant que root pour les mêmes raisons que vous ne devez pas exécuter Firefox, OpenOffice, GIMP ou toute autre application de taille similaire en tant que root.
Sous Linux, vous n'avez pas besoin d'être root pour capturer des paquets. Vous avez juste besoin des privilèges CAP_NET_ADMIN et CAP_NET_RAW. Sur la plupart des distributions, cela est facile à mettre en place et à exécuter . Ubuntu ne le fait pas encore par défaut, mais nous l'espérons, à un moment donné dans le futur .
selon http://wiki.wireshark.org/CaptureSetup/CapturePrivileges, vous ne devriez pas l'exécuter en tant que root.
Utilisez plutôt les privilèges root pour effectuer un vidage à l'aide de dumpcap ou tcpdump, puis analysez à l'aide de Wireshark.
Wireshark a une longue histoire de bogues de sécurité dans les disecteurs (les plugins qui décrivent comment interpréter divers protocoles over-the-wire). Pour cette raison, il est plus sûr de réaliser vos captures avec un outil plus simple tel que tcpdump, puis d'utiliser WireShark pour les interpréter comme un utilisateur non privilégié.
Cela dépend vraiment de ce qui se trouve sur votre machine. Utilisez-vous un ordinateur portable de rechange juste pour renifler? Exécutez ensuite en tant que root. Si vous avez des données importantes sur cette machine, exécutez tcpdump à partir du cli et utilisez wirehark pour analyser le trafic.
sudo dpkg-reconfigure wireshark-common