我已开始Wireshark在我的 Ubuntu 机器上,发现没有可以监听的接口。所以我以 root 身份启动它。这使我可以访问所有接口,但出现了一个警告:
以“root”组内的用户“root”身份运行 Wireshark。这可能很危险...
那么,这危险吗?否则,我如何监听接口?
答案1
答案2
根据Wireshark 官方维基您不应该以 root 身份运行它。
Wireshark 已实现权限分离,这意味着 Wireshark GUI(或 tshark CLI)可以作为普通用户运行,而 dumpcap 捕获实用程序则以 root 身份运行。这可以通过安装 dumpcap setuid root 来实现。此解决方案的优点是,虽然 dumpcap 以 root 身份运行,但 Wireshark 的绝大部分代码都以普通用户身份运行(这样造成的损害就小得多)。
相反,使用 root 权限来转储dumpcap
,tcpdump
然后使用 Wireshark 进行分析。
答案3
Wireshark 的解析器(描述如何解释各种网络协议的插件)长期以来一直存在安全漏洞。因此,使用 tcpdump 等更简单的工具执行捕获,然后使用 wireshark 以非特权用户身份对其进行解释,这样更安全。