Tôi đã khởi động WireShark trên máy Ubuntu của mình và phát hiện ra rằng không có giao diện nào tôi có thể nghe. Vì vậy, tôi đã khởi chạy nó như root. Điều này cho tôi quyền truy cập vào tất cả các giao diện, nhưng đã cho tôi một cảnh báo:
Chạy WireShark với tư cách là người dùng 'root' trong nhóm 'root'. Điều này có thể nguy hiểm ...
Vì vậy, nó có nguy hiểm không? Nếu không, làm thế nào tôi có thể nghe các giao diện?
Câu trả lời:
Wireshark đang nhanh chóng tiếp cận hai triệu dòng mã . Bạn không nên chạy chúng dưới quyền root vì những lý do tương tự mà bạn không nên chạy Firefox, OpenOffice, GIMP hoặc bất kỳ ứng dụng có kích thước tương tự nào khác như root.
Trên Linux, bạn không cần phải root để chụp gói. Bạn chỉ cần các đặc quyền CAP_NET_ADMIN và CAP_NET_RAW. Trên hầu hết các bản phân phối, điều này dễ dàng để có được và chạy . Ubuntu không làm điều này theo mặc định, nhưng hy vọng sẽ có lúc nào đó trong tương lai .
theo http://wiki.wireshark.org/CaptureSetup/CapturePriv đặc quyền bạn không nên chạy nó dưới quyền root.
Thay vào đó, hãy sử dụng quyền root để kết xuất bằng dumpcap hoặc tcpdump và sau đó phân tích bằng wireshark.
Wireshark có một lịch sử lâu dài về các lỗi bảo mật trong các bộ xử lý (các plugin mô tả cách diễn giải các giao thức khác nhau). Vì lý do đó, sẽ an toàn hơn khi thực hiện các ảnh chụp của bạn bằng một công cụ đơn giản hơn như tcpdump, sau đó sử dụng wireshark để diễn giải chúng như một người dùng không có quyền.
Nó phụ thuộc vào những gì trên máy của bạn thực sự. Bạn có sử dụng máy tính xách tay dự phòng chỉ để đánh hơi? Sau đó chạy như root. Nếu bạn có dữ liệu quan trọng trên máy đó thì hãy chạy tcpdump từ cli và sử dụng wireshark để phân tích lưu lượng.
sudo dpkg-reconfigure wireshark-common