Wireshark/Ausführen

Aus Foxwiki
Version vom 20. Januar 2024, 12:24 Uhr von Dirkwagner (Diskussion | Beiträge) (Die Seite wurde neu angelegt: „== Wireshark ausführen == ; FÜHREN SIE IHN NICHT ALS ROOT AUS! WIRESHARK ENTHÄLT ÜBER EINE MILLION ZEILEN QUELLCODE * Wireshark ist anfällig für manipulierten Datenverkehr * Aufgrund seiner Komplexität und der großen Anzahl an Protokoll-Dissektoren ** Denial-of-Service ** Ausführung von beliebigem Code Zugriff auf Netzwerkschnittstellen * Mit User-Rechten hat Wireshark keinen Zugriff auf Netzwerkschnittstellen * Erfordert standardmäßig Root-Re…“)
(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)

Wireshark ausführen

FÜHREN SIE IHN NICHT ALS ROOT AUS!

WIRESHARK ENTHÄLT ÜBER EINE MILLION ZEILEN QUELLCODE

  • Wireshark ist anfällig für manipulierten Datenverkehr
  • Aufgrund seiner Komplexität und der großen Anzahl an Protokoll-Dissektoren
    • Denial-of-Service
    • Ausführung von beliebigem Code

Zugriff auf Netzwerkschnittstellen

  • Mit User-Rechten hat Wireshark keinen Zugriff auf Netzwerkschnittstellen
  • Erfordert standardmäßig Root-Rechte

Aktivieren von Non-root Capture

Capabilities

Werden mit dem Dienstprogramm setcap zugewiesen
Relevant für Wireshark
Option Beschreibung
CAP_NET_ADMIN Erlaubt verschiedene netzwerkbezogene Operationen (z.B. Setzen von privilegierten Socket-Optionen, Aktivieren von Multicasting, Schnittstellenkonfiguration, Ändern von Routing-Tabellen)
  • CAP_NET_ADMIN ermöglicht es uns, eine Schnittstelle in den Promiscuous-Modus zu versetzen, und
CAP_NET_RAW Erlaubt die Verwendung von RAW- und PACKET-Sockets
  • CAP_NET_RAW erlaubt den Raw-Zugriff auf eine Schnittstelle, um direkt über die Leitung zu erfassen

Wireshark-Gruppe

Da die Anwendung, der wir erweiterte Fähigkeiten zugestehen, standardmäßig von allen Benutzern ausgeführt werden kann, möchten Sie vielleicht eine spezielle Gruppe für die Wireshark-Familie von Dienstprogrammen (und ähnliche Anwendungen) hinzufügen und ihre Ausführung auf Benutzer innerhalb dieser Gruppe beschränken

# groupadd wireshark
# usermod -a -G wireshark user

Nachdem Sie sich selbst zur Gruppe hinzugefügt haben, muss sich Ihr normaler Benutzer möglicherweise ab- und wieder anmelden

  • Sie können auch newgrp ausführen, um die neue Gruppe zu erzwingen (Sie müssen Wireshark in Schritt 3 aus derselben Terminalumgebung starten):
$ newgrp wireshark

Wir weisen dieser Gruppe die ausführbare Datei dumpcap anstelle von Wireshark selbst zu, da dumpcap für die gesamte Low-Level-Erfassung zuständig ist

  • Durch Ändern des Modus auf 750 wird sichergestellt, dass nur Benutzer, die zu dieser Gruppe gehören, die Datei ausführen können
# chgrp wireshark /usr/bin/dumpcap
# chmod 750 /usr/bin/dumpcap