Preocupação com a execução do WireShark como root

O Wireshark está se aproximando rapidamente de dois milhões de linhas de código . Você não deve executá-los como root pelas mesmas razões pelas quais você não deve executar o Firefox, o OpenOffice, o GIMP ou qualquer outro aplicativo de tamanho semelhante como root.

No Linux, você não precisa ser root para capturar pacotes. Você só precisa dos privilégios CAP_NET_ADMIN e CAP_NET_RAW. Na maioria das distribuições, isso é fácil de ser instalado e funcionando . O Ubuntu ainda não faz isso por padrão, mas esperamos que em algum momento no futuro .

de acordo com o link , você não deve executá-lo como root.

Em vez disso, use os privilégios de root para fazer o dump usando o dumpcap ou o tcpdump e, em seguida, analise usando o wireshark.

O Wireshark tem um longo histórico de bugs de segurança nos disectors (os plugins que descrevem como interpretar vários protocolos over-the-wire). Por esse motivo, é mais seguro executar suas capturas com uma ferramenta mais simples, como o tcpdump, e usar o wireshark para interpretá-las como um usuário sem privilégios.

Depende do que realmente está na sua máquina. Você usa um laptop extra apenas para farejar? Em seguida, execute como root. Se você tiver dados importantes sobre essa máquina, execute o tcpdump a partir do cli e use wireshark para analisar o tráfego.