rootとしてWireSharkを実行することへの懸念

8

私のUbuntuマシンでWireSharkを起動したところ、聞くことができるインターフェイスがないことがわかりました。ルートとして起動しました。これにより、すべてのインターフェースにアクセスできましたが、警告が表示されました。

グループ 'root'のユーザー 'root'としてWireSharkを実行しています。これは危険かもしれません...

それで、それは危険ですか?それ以外の場合、どのようにしてインターフェイスをリッスンできますか?

root  wireshark 
ネイサン・オスマン
ソース
jfs 2014年

回答:

4

Wiresharkはすぐに200万行のコードに近づいています。Firefox、OpenOffice、GIMP、またはその他の同様のサイズのアプリケーションをrootとして実行してはならないのと同じ理由で、これらをrootとして実行してはなりません。

Linuxでは、パケットをキャプチャするためにrootである必要はありません。必要なのは、CAP_NET_ADMINおよびCAP_NET_RAW特権だけです。ほとんどのディストリビューションでは、これは簡単に起動して実行できます。Ubuntuはデフォルトではまだこれを行いませんが、将来的にはうまくいくと思います

ジェラルドコームズ
ソース
3

http://wiki.wireshark.org/CaptureSetup/CapturePrivilegesによると、ルートとして実行しないでください

代わりに、root権限を使用して、dumpcapまたはtcpdumpを使用してダンプし、wiresharkを使用して分析します。

ブライアン
ソース
ああ...しかし、root権限を使用すると害が生じる可能性はありますか?
Nathan Osman
2
一般に、はい/いいえ。rootを使わずに済む場所でrootを使用しない方が良いでしょう。しかし、これが自宅のマシンであり、オフィスのネットワーク/サーバーを停止させない場合は、離れてください。ワイヤーシャークに関しては、あなたは十分安全だと思います。
ブライアン
2
ネットワーク上の誰かが、wiresharkのバグを悪用するために特別に作成されたパケットを噴出していない限り。次に、それをルートとして使用することは悪いことです。
Charles Duffy、
3

Wiresharkには、ディセクタ(さまざまな有線プロトコルの解釈方法を記述するプラグイン)のセキュリティバグの長い歴史があります。そのため、tcpdumpなどの簡単なツールを使用してキャプチャを実行し、wiresharkを使用して非特権ユーザーとしてキャプチャする方が安全です。

チャールズ・ダフィー
ソース
1

それはあなたのマシンに本当に何があるかによる。スニッフィングのためだけに予備のラップトップを使用しますか?次に、ルートとして実行します。そのマシンに重要なデータがある場合は、cliからtcpdumpを実行し、wiresharkを使用してトラフィックを分析します。

スピード画像
ソース
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.