• Diese Seite verwendet Cookies. Indem du diese Website weiterhin nutzt, erklärst du dich mit der Verwendung von Cookies einverstanden. Erfahre mehr

promiscuous mode

cat1510

Well-Known Member
Themenstarter #1
Guten Abend!

Mein Gateway spuckt in der /var/log/messages immer folgende Zeilen aus:

Jun 15 15:22:59 gateway kernel: vr0: promiscuous mode enabled
Jun 15 15:28:59 gateway kernel: vr0: promiscuous mode disabled

Kann mir jemand erklären, was das ist? Ob es gut oder böse ist?

mfg

CAT
 
#2
Deine Netzwerkkarte empfängt normalerweise nur Pakete, die sie anhand der MAC Adresse als für sie bestimmt erkennen kann. Im promiscous mode reicht sie alle Pakete an den Treiber durch.

Der promiscous mode wird z.B. dann aktiviert, wenn tools wie tcpdump benutzt werden, um Netzwerkprobleme zu diagnostizieren. Ein bösartiger Angreifer kann ihn natürlich auch benutzen, um den Netzwerkverkehr mitzulauschen.

Was jetzt bei dir der Fall ist lässt sich alleine aus der Meldung nicht erraten...
 

napolion

Well-Known Member
#3
Hallo,
...promiscuous mode ist eine Eigenschaft von
Netzwerkkarten die es ihnen ermöglicht
jeden Traffic der bei ihnen vorbeikommt
mitzulesen und nicht nur denn
für sie bestimmten.

Programme (Netzwerksniffer) zeichnen denn Verkehr auf
und dann kuckt(mit tcpdump) man sich das an
und sucht nach z.b. Netzwerkproblemen wenn man Admin ist,
oder nach unverschlüsselten Passwörtern wenn man daran Interresse hat.
IDS Systeme nutzen auch diesen Modus
um unbemerkt denn Netzwerkverkehr zu protokollieren.

Sinnvoll ist der modus nur wenn du ihn benötigst
(Netzwerkwartung,IDS) ,auf der anderen seite
bietet diese Leuten die Möglichkeit
z.b. Passwörter zu "sniffen".

Der Berkley Packet Filter (bpf) bietet
soweit ich weiß diese Möglichkeit und sollte sofern
man auf ihn verzichten kann bei der
Kernelübersetzung auskommentiert werden.
(Deakt. Eintrag im d. Kernelconf :"#Pseudo-device bpf")
Was allerdings nicht beteutet das manche Zeitgenossen
nicht in der Lage sind diesen als Modul nachzuladen.

Netzwerktechnisch sei vielleicht noch erwähnt das
nur Broadcastnetze anfällig sind weil ja nur
mitgelesen werden kann wenn
auch was bei der NW-Karte vorbeikommt.

"Geswitchte" Netzwerke z.b. leiten die Daten-Pakete
nur an die Adressen für die sie auch bestimmt sind,
und sind deshalb einigermassen "abhörsicher".

Im Gegensatz dazu Netzwerke die über Hubs verbunden sind,
da wird das Paket an jede NWK geschick die angeschlossen
ist,und kann deshalb Pakete lesen die gar nicht für sie bestimmt sind.

MfG nap

PS:current hat schon geantwortet ich habs jetz aber schon geschrieben. :rolleyes:
______________________________________________
Man kann keinen Eierkuchen backen, ohne ein paar Eier zu zerschlagen.
 
#4
@cat1510:
Definitiv böse, wenn nicht du selbst die NIC in diesen Zustand versetzt hast.
Wenn nicht, würde ich folgende Ratschläge beherzigen:
http://www.cert.org/tech_tips/intruder_detection_checklist.html

Und Tripwire auf einem _garantiert sauberen_ System installiert und initialisiert, und anschliessend in regelmässigen Abständen, v.a. nach sys-/portupgrades, laufen gelassen würde auch sehr helfen Änderungen festzustellen.

Gruss,
Lars.
 
E

ex-user_280

Guest
#5
Hallo cat1510,

hast du zufällig snort am laufen?
Schau mal ob das beim Booten gestartet wird.
 

cat1510

Well-Known Member
Themenstarter #6
Hmm kann es sein, daß trafshow diesen Zustand bei meiner Netzwerkkarte hervorruft? Dann kann ich mir sehr gut erklären, wie die Meldungen zustande kommen.

mfg

CAT
 
#8
ich benutze trafshow -np
-p schaltet die netzwerkkarte nicht in den promiskuitiven ;) modus,
und da bei mir eh alles geswitcht ist, merke ich auch keinen unterschied.

gruss
Male