以非 root 用户身份使用 Wireshark 抓包(Sniffing with Wireshark as a Non-Root User)

最新推荐文章于 2024-01-29 17:23:07 发布
最新推荐文章于 2024-01-29 17:23:07 发布
阅读量3.4k 收藏 2
点赞数
分类专栏: Linux 文章标签: unix wireshark 网络 linux root

转载请注明来源:http://blog.csdn.net/imred/article/details/50248637
原文地址:http://packetlife.net/blog/2010/mar/19/sniffing-wireshark-non-root-user/
这篇文章是针对Linux和某些UNIX系统而写的,Windows用户可以参阅这里
许多网络工程师第一次在Linux机器上使用Wireshark时可能感到很奇怪,因为他们没有权限使用任何网络接口。因为在默认情况下,网络接口(比如说eth0)的原始操作权限(raw access)需要root权限。但是Wireshark会提示你直接以root身份运行Wireshark并不是一个好主意,你可能会收到下面这样的警告:

Wireshark包含超过一百五十万行代码。不要以root身份执行它们。

的确,Wireshark有数目众多且复杂的协议解析器,这使得它在处理一些畸形的网络流量(故意的或无意的)潜在被攻击的可能性,最终可能导致无法正常工作或者执行恶意代码。那么,如果我们不以root身份运行Wireshark,我们该如何抓包呢?
Wireshark的首席开发人员,Gerald Combs,指出某些Linux发行版已经开始实现网络原始操作权限的Linux权能(capabilities)(许多关于Linux基本使用方法的书籍里并没有提到过Linux的capabilities机制,它是一种关于权限的机制,下面会提到一些,具体可查阅capabilities的man page,关于其他的权限机制,可以参阅我的博客其他一些文章,译者注)。在这篇文章里,我将一步步的教你具体如何使用这种权能特性,以及这些系统命令的背后机理,我使用的是Ubuntu 9.10。

文件系统权能(Filesystem Capabilities)

什么是文件系统权能?下面是man page的部分内容:

为了实现执行权限检查的目的,传统的Unix将进程分为两类:特权进程(有效UID为0,指超级用户或root),非特权进程(有效UID非0)。特权进程可以绕开内核的任何权限检查,而非特权进程则会被内核根据进程的凭证信息(有效UID,有效GID,附属组列表)进行完全的权限检查。
从kernel 2.2开始,Linux将传统上关联于超级用户的各种特权分离到了独立的单元,即我们所知的权能,这使它们可被独立的开启或关闭。权能是每个线程的属性。

手册接着列出了二十几个独立的POSIX权能,它们可被单个的可执行文件获取。为了进行嗅探,我们需要特别注意其中的两项权能:

CAP_NET_ADMIN-允许各种和网络相关的操作(比如设置特权套接字选项(privileged socket options),开启多播,设置网络端口,修改路由表)。
CAP_NET_RAW-允许使用原始(RAW)套接字和数据包(PACKET)套接字

CAP_NET_ADMIN允许我们将端口设置为混杂模式(promiscuous mode),CAP_NET_RAW允许对网络接口的原始操作权限,这样我们就可以直接从网线中抓包了。我们要使用setcap工具来进行这些权能的赋予。

允许非root用户抓包(Enabling Non-root Capture)

第一步:安装setcap(Install setcap)

首先,如果系统中没有setcap工具的话,我们必须要安装它。我们要用它来赋予Wireshark中dumpcap程序粒度化(granular)的权能。setcap是libcap2-bin包的一部分。

stretch@Sandbox:~$ sudo apt-get install libcap2-bin
Reading package lists… Done
Building dependency tree
Reading state information… Done
Suggested packages:
libcap-dev
The following NEW packages will be installed:
libcap2-bin
0 upgraded, 1 newly installed, 0 to remove and 0 not upgraded.
Need to get 17.7kB of archives.
After this operation, 135kB of additional disk space will be used.
Get:1 http://us.archive.ubuntu.com karmic/universe libcap2-bin 1:2.16-5ubuntu1 [17.7kB]
Fetched 17.7kB in 0s (36.7kB/s)
Selecting previously deselected package libcap2-bin.
(Reading database … 146486 files and directories currently installed.)
Unpacking libcap2-bin (from …/libcap2-bin_1%3a2.16-5ubuntu1_amd64.deb) …
Processing triggers for man-db …
Setting up libcap2-bin (1:2.16-5ubuntu1) …

第二步:创建Wireshark用户组(可选)(Create a Wireshark Group (Optional))

一个应用程序获得权能以后,它默认仍然可被所有用户执行,因此我们最好建立一个Wireshark用户组,将Wireshark及类似工具的可执行权限仅赋给这个用户组的用户。当然了,这并不是必需的。

root@Sandbox# groupadd wireshark
root@Sandbox# usermod -a -G wireshark stretch

把你自己的非root用户添加到这个用户组之后,这个用户需要登出再登入才能使用户组设置生效。或者,你可以执行newgrp命令来强制使这个新的用户组生效(你必须在这个相同的终端环境下进行第三步操作)。(需要事先使用gpasswd设置用户组密码才能使用newgrp命令,而且使用newgrp只是临时的得到了用户组权限,下次登录就会消失,当然本例并不会消失,因为已经设置了新用户组,关闭终端也会使权限消失。译者注)

stretch@Sandbox$ newgrp wireshark

我们把dumpcap程序的执行权限赋给这个用户组,而不是Wireshark本身,这是因为负责底层抓包操作的只有dumpcap这个程序。将它的权限设为750,这样只有在这个用户组的用户才能执行它了。

root@Sandbox# chgrp wireshark /usr/bin/dumpcap
root@Sandbox# chmod 750 /usr/bin/dumpcap

第三步 获取权能(Grant Capabilities)

使用setcap获取权能相当简单:

root@Sandbox# setcap cap_net_raw,cap_net_admin=eip /usr/bin/dumpcap

权能表后面的=eip分别在生效(effective),可继承(inheritable)和允许的(permitted)三个映射集合中设置了这些权能的有效位。想要获取更彻底的解释,可以参阅这个FAQ
可以使用getcap来确认一下配置是否生效。

root@Sandbox# getcap /usr/bin/dumpcap
/usr/bin/dumpcap = cap_net_admin,cap_net_raw+eip

现在,我们添加在第二步创建的wireshark用户组中的用户就可以正常的使用Wireshark了。你现在在可开始嗅探列表中应该能看到所有的网络端口了。(如果没有,请再次检查wireshark用户组是否出现在了groups命令的输出中,而且你可能需要登出再登入才能使用户组设置生效。)
转载请注明来源:http://blog.csdn.net/imred/article/details/50248637

imred
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Wireshark抓包分析微信功能----tcp/ip选修课期末大作业
01-07
tcp/ip选修课期末大作业,资源内有为分析相关微信功能所抓取的数据包和完整大作业报告(word版),适合Wireshark入门的小伙伴们或者赶期末大作业无从下手的uu们。铁汁们,放心食用
安卓手机网络抓包
一米阳光的专栏
12-19 2280
安卓网络手机抓包: 1.抓取网络包有两种方法: (1).shark for root 抓包  (2).tcpdump 抓包 2.抓包后采用wireshark分析 3.shark for root使用: (1).获取shark for root软件,从google play中下载安装即可 (2).root安卓手机 (3).安装shark for root软件,安装成功会出现图标
Linux 网络分析 Wireshark
最新发布
码农终结者的博客
01-29 1856
这篇记录一些 Wireshark使用操作,有兴趣的建议看看 《Wireshark网络分析就这么简单》 写的很好,有趣能看进去。
linuxwireshark安装和使用
humanof的专栏
04-27 4428
Wireshark是世界上最流行的网络分析工具。这个强大的工具可以捕捉网络中的数据,并为用户提供关于网络和上层协议的各种信息。 与很多其他网络工具一样,Wireshark使用pcap network library来进行封包捕捉。 Wireshark的优势: - 安装方便。 - 简单易用的界面。 - 提供丰富的功能。 Wireshark的原名是Ethereal,新名字是2006年起用
Run the Docker daemon as a non-root user (Rootless mode)
m0_66570838的博客
08-30 879
本文主要介绍了docker rootless安装过程。
Linux使用Wireshark抓包教程
踏雨歌青春,诗酒趁年华
12-31 2936
本文将介绍如何在Linux系统中安装Wireshark抓包工具,以CentOS7为例。在实际开发中,涉及网络传输的环节是非常多的。在这些过程中,我们经常有查看被传输的数据信息的需求,因此,抓包工具应运而生。Wireshark便是一款非常有名的抓包及分析软件,具有强大的协议解析能力。
linux 命令 wireshark,在Linux系统中安装Wireshark使用的方法
weixin_42405890的博客
04-29 1万+
本文介绍在 Linux 系统(Ubuntu/Debian)中安装 Wireshark 并且使用 Wireshark,教你用 Wireshark 来捕获网络数据包。Wireshark 简介Wireshark 是自由开源的、跨平台的基于 GUI 的网络数据包分析器,可用于 Linux、Windows、MacOS、Solaris 等。它可以实时捕获网络数据包,并以人性化的格式呈现。Wireshark 允...
C#使用TCP/UDP协议通信并用Wireshark抓包分析数据
02-24
本文章主要讲述使用VS2019编写C#程序,并通过UDP/TCP进行通信,使用Wireshark抓包软件抓取发送的包并分析数据结构,由于涉及到客户端和通信端,可以使用两台电脑,一台电脑编写客户端代码,一台电脑编写服务器端代码...
Wireshark抓包软件使用教程.pptx
12-02
Wireshark抓包软件使用教程.pptx
使用wireshark抓包软件分析微信协议-计算机网络实验大作业.doc
06-07
使用wireshark抓包软件分析微信协议 计算机网络大作业 超级详细- -,不服找我,写了好久
Linux命令行抓包及包解析工具tshark(wireshark)使用实例解析
12-13
Linux命令行抓包及包解析工具tshark(wireshark)使用实例解析
linux抓包工具 wireshark,网络抓包工具Wireshark下载安装&使用详细教程
weixin_42519170的博客
05-07 5075
叮嘟!这里是小啊呜的学习课程资料整理。好记性不如烂笔头,今天也是努力进步的一天。一起加油进阶吧! 一、关于WiresharkWireshark(前身 Ethereal)是一个网络包分析工具。该工具主要是用来捕获网络数据包,并自动解析数据包,为用户显示数据包的详细信息,供用户对数据包进行分析。它可以运行在 Windows 和 Linux 操作系统上。可以使用该工具捕获并分析各类协议数据包,本文将讲解...
Run Docker As Non-root User In Linux
07-31 250
To fix the Docker permission denied error and use Docker as non-root user, create a group called"docker"with the following command: $ sudo groupadd docker Next, add your user to thedockergroup: $ sudo usermod -aG docker $USER After adding the us...
linux wireshark_wireshark 使用指南
weixin_39727976的博客
11-23 502
what?wireshark(前称Ethereal)是一个免费开源的网络数据包分析软件。网络数据包分析软件的功能是截取网络数据包,并尽可能显示出最为详细的网络数据包资料。在过去,网络数据包分析软件是非常昂贵,或是专门属于营利用的软件,然而Wireshark的出现却改变了这种生态。[原创研究?]在GNU通用公共许可证的保障范围底下,用户可以以免费的代价获取软件与其代码,并拥有针对其源代码修改及定制的...
wireshark使用教程linux,Linux下如何使用Wireshark进行抓包
weixin_29416037的博客
05-07 2218
1. 安装wiresharkUbuntu 14.04.3 缺省安装后, 不包含Wireshark抓包软件,因此首先需要手工进行Wireshark的安装:apt-get updateapt-get install wireshark通过以上两条命令即可完成Wireshark的安装,非常简单。2. 安装Xming安装完成后,执行sudo wireshark出现以下的错误提示:ubuntu@ubuntu...
linux wireshark 使用教程,M22 wireshark使用方法简介
weixin_35834213的博客
05-10 454
wireshark是一款著名的开源抓包软件,它可以抓取网卡的数据包,以供网络管理员分析。一 安装方法debain系安装方法:sudo add-apt-repository ppa:wireshark-dev/stablesudo apt updatesudo apt install wireshark启动wireshark:sudo wireshark二 界面布局欢迎界面,在此界面可以选择需要抓包...
linux普通用户权限 wireshark 抓包
无心插柳
09-05 8623
Setting network privileges for dumpcap 1. Ensure your linux kernel and filesystem supports File Capabilities and also you have installed necessary tools. 2. "setcap 'CAP_NET_RAW+eip CAP_NET_ADMI
解决linux下无法添加用户和组的问题(groupadd命令不可用)
热门推荐
小单的博客专栏
12-21 1万+
今天需要给一个linux服务器安装mysql,在安装mysql的时候,出现错误提示: [root@localhost softwaretools]# rpm -ivh MySQL-server-5.5.23-1.rhel5.x86_64.rpm Preparing...                ########################################### [10
linux中非root用户使用wireshark进行抓包
weixin_30904593的博客
04-15 264
开始的时候我是在终端中使用sudo 命令打开 wireshark 的,因为如果不这样的话 wireshark 就没法抓包啊。偶尔抓一次包就使用这样的方式提权。 今天使用 wireshark 的时候特意留意了一下 wireshark 的提示信息,大致就是告诉我,使用 root 权限,危险!! 那一定有解决办法喽,当然。提示信息里给出了这个网址:https://wiki.wireshar...
如何使用Wireshark抓包
12-03
使用Wireshark抓包的步骤如下: 1. 下载并安装Wireshark软件。 2. 打开Wireshark软件,选择需要抓包网络接口,如Wi-Fi或以太网。 3. 点击“开始捕获”按钮开始抓包。 4. 进行需要抓包的操作,如访问网站或发送邮件等。 5. 停止抓包,点击“停止捕获”按钮。 6. 分析抓包数据,可以使用Wireshark的过滤功能来筛选出需要的数据包,也可以查看每个数据包的详细信息。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值