[Pluto-security] Info: eth0 Promiscuous mode

[Beppe]

Alle 15:06, gioved=EC 25 luglio 2002, Dido ha scritto:

Ciao !!!

> In genere, una eth va in modalit=E0 promiscua quando viene utilizzato u=
no
> sniffer (per una serie di motivi che non stiamo a spiegare). Quindi, in
> genere, io mi preoccuperei.

Infatti.... ho subito pensato anch'io ad uno sniffer !

> Ma vediamo  un attimo....
> Un tempo, se volevi usare uno sniffer dovevi _per_forza_ mettere la NIC=
 in
> promiscuous, per cui si utilizzava questo "sintomo" per rilevare se
> all'interno della lan qualcuno faceva il furbo attivando uno sniffer pe=
r
> raccogliere passwd. Oggi non =E8 pi=F9 cos=EC: alcuni sniffer possono l=
avorare
> anche non in promiscua...

Questa non la sapevo pensavo funzionasse solo nella modalita promiscua,
bene a sapersi.
=20
> Quindi, la prima considerazione che devi fare =E8: sto utilizzando uno
> sniffer (o una applicazione analoga)?
> Molto probabilmente s=EC: tu parli di
> log, ti riferisci forse a Snort?=20
>probabilmente lo usi, e in questo caso
> snort pu=F2 effettivamente lavorare in sniffing mode e quindi mettere l=
a nic
> in p.m.

I log riguardanti il tentativo di connesione proventiente dall'esterno er=
ano=20
generati da Iptables e realmente provenienti da un'ip diverso dal mio=20
ma......
mi hai fatto venire in mente che ho cercato di lanciare tutta la sera Sno=
rt ma=20
per qualche errore a me sconoscito non partiva.
Ho provato diverse volte ad avviarlo ed =E8 per quello motivo
che ho registrato diverse volte il passaggio della modalita normale alla=20
promiscua ....... =E8 proprio vero che un po di logica in piu' e magari=20
fermarsi a ragionare non fa male.
Il discorso piu' che altro che mi aveva insospettito era trovarsi quel=20
messaggio subito dopo i tentativi di connesione registrati da iptables=20
sembrava proprio una connesione riuscita ad hoc.
Va beh che dire: falso allarme, grazie comunque.

> dido

Ciao Beppe