Wireshark/Ausführen: Unterschied zwischen den Versionen
Die Seite wurde neu angelegt: „== Wireshark ausführen == ; FÜHREN SIE IHN NICHT ALS ROOT AUS! WIRESHARK ENTHÄLT ÜBER EINE MILLION ZEILEN QUELLCODE * Wireshark ist anfällig für manipulierten Datenverkehr * Aufgrund seiner Komplexität und der großen Anzahl an Protokoll-Dissektoren ** Denial-of-Service ** Ausführung von beliebigem Code Zugriff auf Netzwerkschnittstellen * Mit User-Rechten hat Wireshark keinen Zugriff auf Netzwerkschnittstellen * Erfordert standardmäßig Root-Re…“ |
Keine Bearbeitungszusammenfassung |
||
Zeile 39: | Zeile 39: | ||
# chgrp wireshark /usr/bin/dumpcap | # chgrp wireshark /usr/bin/dumpcap | ||
# chmod 750 /usr/bin/dumpcap | # chmod 750 /usr/bin/dumpcap | ||
== Wireshark starten == | |||
Führen Sie nun Wireshark als den Benutzer aus, den oben zur Wireshark-Gruppe hinzugefügt haben | |||
$ '''wireshark &''' | |||
; Vollständige Liste der Adapter | |||
Andernfalls | |||
* Prüfen, ob die Wireshark-Gruppe in der Ausgabe der Gruppen aufgeführt ist | |||
* Neu anmelden, damit die Gruppenzuweisung wirksam wird |
Version vom 20. Januar 2024, 12:24 Uhr
Wireshark ausführen
- FÜHREN SIE IHN NICHT ALS ROOT AUS!
WIRESHARK ENTHÄLT ÜBER EINE MILLION ZEILEN QUELLCODE
- Wireshark ist anfällig für manipulierten Datenverkehr
- Aufgrund seiner Komplexität und der großen Anzahl an Protokoll-Dissektoren
- Denial-of-Service
- Ausführung von beliebigem Code
Zugriff auf Netzwerkschnittstellen
- Mit User-Rechten hat Wireshark keinen Zugriff auf Netzwerkschnittstellen
- Erfordert standardmäßig Root-Rechte
Aktivieren von Non-root Capture
Capabilities
- Werden mit dem Dienstprogramm setcap zugewiesen
- Relevant für Wireshark
Option | Beschreibung |
---|---|
CAP_NET_ADMIN | Erlaubt verschiedene netzwerkbezogene Operationen (z.B. Setzen von privilegierten Socket-Optionen, Aktivieren von Multicasting, Schnittstellenkonfiguration, Ändern von Routing-Tabellen)
|
CAP_NET_RAW | Erlaubt die Verwendung von RAW- und PACKET-Sockets
|
Wireshark-Gruppe
Da die Anwendung, der wir erweiterte Fähigkeiten zugestehen, standardmäßig von allen Benutzern ausgeführt werden kann, möchten Sie vielleicht eine spezielle Gruppe für die Wireshark-Familie von Dienstprogrammen (und ähnliche Anwendungen) hinzufügen und ihre Ausführung auf Benutzer innerhalb dieser Gruppe beschränken
# groupadd wireshark # usermod -a -G wireshark user
Nachdem Sie sich selbst zur Gruppe hinzugefügt haben, muss sich Ihr normaler Benutzer möglicherweise ab- und wieder anmelden
- Sie können auch newgrp ausführen, um die neue Gruppe zu erzwingen (Sie müssen Wireshark in Schritt 3 aus derselben Terminalumgebung starten):
$ newgrp wireshark
Wir weisen dieser Gruppe die ausführbare Datei dumpcap anstelle von Wireshark selbst zu, da dumpcap für die gesamte Low-Level-Erfassung zuständig ist
- Durch Ändern des Modus auf 750 wird sichergestellt, dass nur Benutzer, die zu dieser Gruppe gehören, die Datei ausführen können
# chgrp wireshark /usr/bin/dumpcap # chmod 750 /usr/bin/dumpcap
Wireshark starten
Führen Sie nun Wireshark als den Benutzer aus, den oben zur Wireshark-Gruppe hinzugefügt haben
$ wireshark &
- Vollständige Liste der Adapter
Andernfalls
- Prüfen, ob die Wireshark-Gruppe in der Ausgabe der Gruppen aufgeführt ist
- Neu anmelden, damit die Gruppenzuweisung wirksam wird