[Pluto-security] Info: eth0 Promiscuous mode
Dido
dido@sicurweb.com
Thu, 25 Jul 2002 15:06:34 +0200
In genere, una eth va in modalit=E0 promiscua quando viene utilizzato uno=20
sniffer (per una serie di motivi che non stiamo a spiegare). Quindi, in=20
genere, io mi preoccuperei. Ma vediamo un attimo....
Un tempo, se volevi usare uno sniffer dovevi _per_forza_ mettere la NIC in=
=20
promiscuous, per cui si utilizzava questo "sintomo" per rilevare se=20
all'interno della lan qualcuno faceva il furbo attivando uno sniffer per=20
raccogliere passwd. Oggi non =E8 pi=F9 cos=EC: alcuni sniffer possono=
lavorare=20
anche non in promiscua...
Quindi, la prima considerazione che devi fare =E8: sto utilizzando uno=20
sniffer (o una applicazione analoga)? Molto probabilmente s=EC: tu parli di=
=20
log, ti riferisci forse a Snort? probabilmente lo usi, e in questo caso=20
snort pu=F2 effettivamente lavorare in sniffing mode e quindi mettere la nic=
=20
in p.m.
dido
At 12.40 25/07/2002 +0200, you wrote:
>Ciao !!!
>
>Volevo chieder un'informazione !
>Sono alcune sere che tra i log file trovo voci
>relative a tentativi di connesione o portscanning
>provenienti dall'esterno, e fin qui nulla di strano
>(oramai =E8 una rutine ).
>La cosa interessante =E8 che subito dopo aver registrato
>l'evento, i messaggi a seguire riportano le seguenti righe:
>eth0: Promiscuous mode enabled.
>device eth0 entered promiscuous mode
>device eth0 left promiscuous mode
>
>Ancora piu' interessante vedere che il messaggio si ripete piu' volte.
>Io personalmente non ho attivato nessuna modalita particolare.
>Secondo voi c'=E8 qualche relazione fra i due eventi???
>La modalt=E0 promiscua non =E8 particolarmente utilizzata per catturare=
pacchetti
>???
>
>Ciao Beppe