Comencé WireShark en mi máquina Ubuntu y descubrí que no había interfaces que pudiera escuchar. Entonces lo lancé como root. Esto me dio acceso a todas las interfaces, pero me dio una advertencia:
Ejecutando WireShark como usuario 'root' en el grupo 'root'. Esto podría ser peligroso ...
Entonces, ¿es peligroso? De lo contrario, ¿cómo puedo escuchar las interfaces?
Respuestas:
Wireshark se acerca rápidamente a dos millones de líneas de código . No debe ejecutarlos como root por las mismas razones por las que no debe ejecutar Firefox, OpenOffice, GIMP o cualquier otra aplicación de tamaño similar como root.
En Linux no necesita ser root para capturar paquetes. Solo necesita los privilegios CAP_NET_ADMIN y CAP_NET_RAW. En la mayoría de las distribuciones, esto es fácil de poner en funcionamiento . Ubuntu aún no hace esto por defecto, pero es de esperar que lo haga en algún momento en el futuro .
de acuerdo con http://wiki.wireshark.org/CaptureSetup/CapturePrivileges, no debe ejecutarlo como root.
En su lugar, use los privilegios de root para volcar usando dumpcap o tcpdump y luego analice con wireshark.
Wireshark tiene una larga historia de errores de seguridad en los disectores (los complementos que describen cómo interpretar varios protocolos over-the-wire). Por esa razón, es más seguro realizar sus capturas con una herramienta más simple como tcpdump, luego use wireshark para interpretarlas como un usuario no privilegiado.
Depende de lo que haya en su máquina realmente. ¿Utiliza una computadora portátil de repuesto solo para oler? Luego corre como root. Si tiene datos importantes en esa máquina, ejecute tcpdump desde el cli y use wireshark para analizar el tráfico.
sudo dpkg-reconfigure wireshark-common