[Pluto-security] Info: eth0 Promiscuous mode
Beppe
beppebz@tin.it
Thu, 25 Jul 2002 19:11:32 +0200
Alle 15:06, gioved=EC 25 luglio 2002, Dido ha scritto:
Ciao !!!
> In genere, una eth va in modalit=E0 promiscua quando viene utilizzato u=
no
> sniffer (per una serie di motivi che non stiamo a spiegare). Quindi, in
> genere, io mi preoccuperei.
Infatti.... ho subito pensato anch'io ad uno sniffer !
> Ma vediamo un attimo....
> Un tempo, se volevi usare uno sniffer dovevi _per_forza_ mettere la NIC=
in
> promiscuous, per cui si utilizzava questo "sintomo" per rilevare se
> all'interno della lan qualcuno faceva il furbo attivando uno sniffer pe=
r
> raccogliere passwd. Oggi non =E8 pi=F9 cos=EC: alcuni sniffer possono l=
avorare
> anche non in promiscua...
Questa non la sapevo pensavo funzionasse solo nella modalita promiscua,
bene a sapersi.
=20
> Quindi, la prima considerazione che devi fare =E8: sto utilizzando uno
> sniffer (o una applicazione analoga)?
> Molto probabilmente s=EC: tu parli di
> log, ti riferisci forse a Snort?=20
>probabilmente lo usi, e in questo caso
> snort pu=F2 effettivamente lavorare in sniffing mode e quindi mettere l=
a nic
> in p.m.
I log riguardanti il tentativo di connesione proventiente dall'esterno er=
ano=20
generati da Iptables e realmente provenienti da un'ip diverso dal mio=20
ma......
mi hai fatto venire in mente che ho cercato di lanciare tutta la sera Sno=
rt ma=20
per qualche errore a me sconoscito non partiva.
Ho provato diverse volte ad avviarlo ed =E8 per quello motivo
che ho registrato diverse volte il passaggio della modalita normale alla=20
promiscua ....... =E8 proprio vero che un po di logica in piu' e magari=20
fermarsi a ragionare non fa male.
Il discorso piu' che altro che mi aveva insospettito era trovarsi quel=20
messaggio subito dopo i tentativi di connesione registrati da iptables=20
sembrava proprio una connesione riuscita ad hoc.
Va beh che dire: falso allarme, grazie comunque.
> dido
Ciao Beppe