Wireshark nie wyświetla interfejsów sieciowych - przyczyny i rozwiązania

Pytanie

Wireshark nie wyświetla interfejsów sieciowych

Odpowiedź Sztucznej Inteligencji

Bezpośrednia odpowiedź na pytanie

• Wireshark nie pokazuje interfejsów, gdy nie ma dostępu do sterownika przechwytywania pakietów (Npcap/ libpcap/ ChmodBPF) albo brakuje odpowiednich uprawnień użytkownika.
• Rozwiązanie: zapewnij poprawną instalację sterownika (Windows – Npcap w trybie WinPcap-API, Linux/macOS – libpcap + prawa do urządzeń BPF) i uruchom Wireshark z uprawnieniami (administrator/root lub członek grupy wireshark).

Kluczowe punkty
• Sterownik przechwytujący musi być zainstalowany i uruchomiony.
• Użytkownik musi mieć prawo do otwarcia interfejsu w trybie promiscuous/monitor.
• Antywirusy, HIPS i polityki korporacyjne mogą blokować sterownik.

Szczegółowa analiza problemu

1. Architektura przechwytywania

Wireshark w przestrzeni użytkownika korzysta z:
• Windows – Npcap.sys (następca WinPcap; domyślny od Wireshark 3.0).
• Linux – libpcap + urządzenia AF_PACKET//dev/bpf*.
• macOS – ChmodBPF oraz system-extension podpisaną przez Apple.

Brak interfejsów oznacza, że moduł jądra nie udostępnia uchwytu, a GUI Wiresharka wyświetla pustą listę.

2. Najczęstsze przyczyny i testy diagnostyczne

Windows 10/11

1. Panel Sterowania → Programy → Npcap ≥ 1.77.
2. Usługa:

   sc query npcap
   net stop npcap & net start npcap

3. Reinstalacja: odinstaluj Wireshark i Npcap, restart, zainstaluj najnowszy Wireshark 4.x; w instalatorze Npcap:
   ‑ „Install Npcap in WinPcap API-compatible Mode”
   ‑ odznacz „Restrict Npcap … to Administrators only”, jeśli chcesz pracować bez podnoszenia uprawnień.
4. Windows 11 z włączonym HVCI/Memory Integrity wymaga Npcap 1.71+ z podpisem EV; starsze wersje są blokowane.

Linux (Debian/Ubuntu/Fedora/Arch)

sudo apt install wireshark
sudo dpkg-reconfigure wireshark-common   # → Tak
sudo usermod -aG wireshark $USER
# ponowne logowanie
dumpcap -D

Uprawnienia do /usr/bin/dumpcap zwykle ustawione na cap_net_raw,cap_net_admin+eip.

macOS 12–14 (Monterey–Sonoma)

1. Podczas instalacji Wireshark zaakceptuj załadowanie ChmodBPF System Extension (System Settings → Privacy & Security → Allow).
2. Jeśli pominąłeś:

   sudo /Applications/Wireshark.app/Contents/MacOS/ChmodBPF/ChmodBPF install

3. Opcjonalnie:

   sudo chgrp admin /dev/bpf* && sudo chmod g+rw /dev/bpf*

3. Specjalne przypadki

• Wi-Fi monitor: nie każda karta/sterownik (zwłaszcza karty Intel na Windows) obsługuje raw 802.11. Użyj sterowników Npcap z opcją „Support raw 802.11 traffic” lub karty USB Atheros/Realtek pod Linuxem.
• VM/VPN: interfejsy wirtualne mogą być ukryte, jeśli sterownik nie jest do nich przypięty – dotyczy Hyper-V „Default Switch”.
• Łącza mobilne/USB-C Ethernet – wymagają własnych podpisanych sterowników; upewnij się, że pojawiają się w ipconfig /all lub ip link.

Aktualne informacje i trendy

• Od 2023 r. WinPcap jest uznany za przestarzały; projekty korporacyjne migrują do Npcap (maintained przez Nmap).
• Wireshark 4.2 i nowsze wykrywają HVCI-blocked sterowniki i wyświetlają dedykowany komunikat.
• Na Linuxie rośnie znaczenie możliwości uruchamiania dumpcap z capabilities zamiast SUID root (bezpieczeństwo).
• Apple stopniowo przenosi kontrolę nad BPF do Endpoint Security Framework; kolejne wydania macOS mogą wymagać „System Extension with Network Provider”.

Wspierające wyjaśnienia i detale

Praktyczne skrypty:
Windows (PowerShell, reinstalacja Npcap)

Start-Process msiexec -ArgumentList "/x {B1D49557-...} /qn" -Wait
Invoke-WebRequest https://npcap.com/dist/npcap-1.77.exe -OutFile npcap.exe
Start-Process .\npcap.exe -ArgumentList "/S" -Wait

Linux – sprawdzenie capabilities:

getcap /usr/bin/dumpcap
# /usr/bin/dumpcap = cap_net_admin,cap_net_raw+eip

macOS – lista urządzeń BPF:

ls -l /dev/bpf*

Aspekty etyczne i prawne

• Sniffing ruchu bez zgody właściciela sieci może naruszać art. 267 §3 KK (Polska) lub Computer Fraud and Abuse Act (USA).
• W sieciach korporacyjnych wymagane jest zezwolenie działu bezpieczeństwa; zwykle konfiguracja NAC/802.1X blokuje tryb promiscuous.
• Wirtualne laboratoria oraz izolowane porty SPAN są zalecaną praktyką testowania.

Praktyczne wskazówki

1. Zawsze zaczynaj od dumpcap -D – najkrótsza ścieżka do diagnozy.
2. Unikaj uruchamiania pełnego GUI z sudo; skonfiguruj grupę wireshark albo capabilities.
3. Po aktualizacji sterowników sieciowych sprawdź, czy usługa Npcap ponownie związała się z interfejsem (sc queryex npcap).
4. Automatyzuj reinstalację Npcap przy migracji obrazów Windows 10 → 11 (MDT/Intune), korzystając z parametru /loopback_support=no dla poprawnego działania WSL 2.

Ewentualne zastrzeżenia lub uwagi dodatkowe

• Niektóre korporacyjne AV (CrowdStrike, Cylance) blokują otwieranie urządzeń NDIS w trybie promiscuous; wymaga to wpisu allow-list.
• W starszych kernelach (≤ 4.8) istniał bug powodujący brak interfejsów po przejściu z namespace’ów; aktualizacja rozwiązuje problem.
• Systemy BSD używają pflog/pfsync; Wireshark wymaga innych ustawień filtrów.

Sugestie dalszych badań

• Zdalne przechwytywanie: rpcapd, ssh + dumpcap -w - lub narzędzia gRPC Remote Capture Wireshark Live.
• Analiza interfejsów 5G/IoT poprzez extcap (np. randpkt, androiddump).
• Tryb ring-buffer + auto-rotate przy długich akwizycjach w centrach danych.
• Ewolucja eBPF jako przyszłego standardu filtrowania pakietów na Linuxie – wireshark-bpf tap.

Krótkie podsumowanie

Brak interfejsów w Wiresharku niemal zawsze sprowadza się do (1) sterownika przechwytywania, (2) uprawnień lub (3) blokady bezpieczeństwa. Zainstaluj i uruchom Npcap/libpcap z odpowiednimi podpisami, dodaj użytkownika do grupy wireshark lub uruchom aplikację jako administrator, sprawdź usługę npf/npcap. Po wykonaniu tych kroków komenda dumpcap -D powinna pokazać listę kart, a GUI Wiresharka umożliwi przechwytywanie pakietów.