Я запустил WireShark на своем компьютере с Ubuntu и обнаружил, что нет никаких интерфейсов, которые я мог бы слушать. Поэтому я запустил его как root. Это дало мне доступ ко всем интерфейсам, но дало мне предупреждение:
Запуск WireShark от имени пользователя root в группе root. Это может быть опасно ...
Так это опасно? В противном случае, как я могу слушать интерфейсы?
Wireshark быстро приближается к двум миллионам строк кода. Не следует запускать их как root по тем же причинам, по которым вы не должны запускать Firefox, OpenOffice, GIMP или любое другое приложение аналогичного размера в качестве root.
В Linux вам не нужно быть пользователем root для захвата пакетов. Вам просто нужны привилегии CAP_NET_ADMIN и CAP_NET_RAW. В большинстве дистрибутивов его легко запустить и запустить. Ubuntu пока не делает этого по умолчанию, но, надеюсь, когда- нибудь в будущем.
в соответствии с http://wiki.wireshark.org/CaptureSetup/CapturePrivileges вы не должны запускать его как root.
Вместо этого используйте привилегии root для создания дампа с использованием dumpcap или tcpdump, а затем анализируйте с помощью wireshark.
Wireshark имеет долгую историю ошибок безопасности в секторах (плагины, которые описывают, как интерпретировать различные беспроводные протоколы). По этой причине безопаснее выполнять захват с помощью более простого инструмента, такого как tcpdump, а затем использовать wireshark, чтобы интерпретировать их как непривилегированного пользователя.
Это зависит от того, что на вашей машине на самом деле. Вы используете запасной ноутбук только для того, чтобы понюхать? Затем запустите от имени пользователя root. Если у вас есть важные данные об этом компьютере, запустите tcpdump из cli и используйте wireshark для анализа трафика.
