Iniciei o WireShark na minha máquina Ubuntu e descobri que não havia interfaces que eu pudesse ouvir. Então eu o lancei como root. Isso me deu acesso a todas as interfaces, mas me deu um aviso:
Executando o WireShark como usuário 'root' no grupo 'root'. Isso pode ser perigoso ...
Então, é perigoso? Caso contrário, como posso ouvir as interfaces?
Respostas:
O Wireshark está se aproximando rapidamente de dois milhões de linhas de código . Você não deve executá-los como root pelos mesmos motivos que não deve executar o Firefox, OpenOffice, GIMP ou qualquer outro aplicativo de tamanho semelhante como root.
No Linux, você não precisa ser root para capturar pacotes. Você só precisa dos privilégios CAP_NET_ADMIN e CAP_NET_RAW. Na maioria das distribuições, é fácil começar a operar . O Ubuntu ainda não faz isso por padrão, mas espero que em algum momento no futuro .
de acordo com http://wiki.wireshark.org/CaptureSetup/CapturePrivileges, você não deve executá-lo como root.
Em vez disso, use privilégios de root para fazer o dump usando dumpcap ou tcpdump e, em seguida, analise usando o wireshark.
O Wireshark tem um longo histórico de bugs de segurança nos disectors (os plugins que descrevem como interpretar vários protocolos over-the-wire). Por esse motivo, é mais seguro realizar suas capturas com uma ferramenta mais simples, como tcpdump, e usar o wireshark para interpretá-las como um usuário não privilegiado.
Depende do que realmente está na sua máquina. Você usa um laptop sobressalente apenas para cheirar? Em seguida, execute como root. Se você tiver dados importantes nessa máquina, execute tcpdump a partir do CLI e use o wireshark para analisar o tráfego.
sudo dpkg-reconfigure wireshark-common