Wireshark/Ausführen
Wireshark ausführen
- FÜHREN SIE IHN NICHT ALS ROOT AUS!
WIRESHARK ENTHÄLT ÜBER EINE MILLION ZEILEN QUELLCODE
- Wireshark ist anfällig für manipulierten Datenverkehr
- Aufgrund seiner Komplexität und der großen Anzahl an Protokoll-Dissektoren
- Denial-of-Service
- Ausführung von beliebigem Code
Zugriff auf Netzwerkschnittstellen
- Mit User-Rechten hat Wireshark keinen Zugriff auf Netzwerkschnittstellen
- Erfordert standardmäßig Root-Rechte
Aktivieren von Non-root Capture
Capabilities
- Werden mit dem Dienstprogramm setcap zugewiesen
- Relevant für Wireshark
Option | Beschreibung |
---|---|
CAP_NET_ADMIN | Erlaubt verschiedene netzwerkbezogene Operationen (z.B. Setzen von privilegierten Socket-Optionen, Aktivieren von Multicasting, Schnittstellenkonfiguration, Ändern von Routing-Tabellen)
|
CAP_NET_RAW | Erlaubt die Verwendung von RAW- und PACKET-Sockets
|
Wireshark-Gruppe
Da die Anwendung, der wir erweiterte Fähigkeiten zugestehen, standardmäßig von allen Benutzern ausgeführt werden kann, möchten Sie vielleicht eine spezielle Gruppe für die Wireshark-Familie von Dienstprogrammen (und ähnliche Anwendungen) hinzufügen und ihre Ausführung auf Benutzer innerhalb dieser Gruppe beschränken
# groupadd wireshark # usermod -a -G wireshark user
Nachdem Sie sich selbst zur Gruppe hinzugefügt haben, muss sich Ihr normaler Benutzer möglicherweise ab- und wieder anmelden
- Sie können auch newgrp ausführen, um die neue Gruppe zu erzwingen (Sie müssen Wireshark in Schritt 3 aus derselben Terminalumgebung starten):
$ newgrp wireshark
Wir weisen dieser Gruppe die ausführbare Datei dumpcap anstelle von Wireshark selbst zu, da dumpcap für die gesamte Low-Level-Erfassung zuständig ist
- Durch Ändern des Modus auf 750 wird sichergestellt, dass nur Benutzer, die zu dieser Gruppe gehören, die Datei ausführen können
# chgrp wireshark /usr/bin/dumpcap # chmod 750 /usr/bin/dumpcap