Modus%E2%80%9C.png)
Ich habe die neueste Version vonOSSEC-HIDS(2.8.1), und ich erhalte jetzt ständig diese E-Mail-Benachrichtigungen davon:
OSSEC HIDS Notification.
2015 Apr 08 11:26:17
Received From: Bath-Towel->/var/log/syslog
Rule: 5104 fired (level 8) -> "Interface entered in promiscuous(sniffing) mode."
Portion of the log(s):
Apr 8 11:26:15 Bath-Towel kernel: [ 93.311372] device eth0 entered promiscuous mode
--END OF NOTIFICATION
OSSEC HIDS Notification.
2015 Apr 08 11:26:19
Received From: Bath-Towel->/var/log/syslog
Rule: 5104 fired (level 8) -> "Interface entered in promiscuous(sniffing) mode."
Portion of the log(s):
Apr 8 11:26:18 Bath-Towel kernel: [ 95.824941] device eth0 entered promiscuous mode
--END OF NOTIFICATION
OSSEC HIDS Notification.
2015 Apr 08 11:26:23
Received From: Bath-Towel->/var/log/syslog
Rule: 5104 fired (level 8) -> "Interface entered in promiscuous(sniffing) mode."
Portion of the log(s):
Apr 8 11:26:21 Bath-Towel kernel: [ 99.353199] device eth0 entered promiscuous mode
--END OF NOTIFICATION
Was also bedeutet das und sollte ich mir darüber Sorgen machen?
Betriebssysteminformationen:
Description: Ubuntu 14.10
Release: 14.10
Antwort1
Wenn Sie Software installiert haben, die Sniffing ermöglicht, und dies beim Starten von Software wie WireShark erhalten, dann:
Machen Sie sich keine Sorgen! Sie werden vorzeitig einen Herzinfarkt erleiden! ;-)
Der Promiscuous-Modus auf einem Computer hat nichts damit zu tun, dass man sich gefährliche Viren wie AIDS einfangen kann. Er bedeutet nur, dass Ihr Netzwerkadapter TCP/IP-Pakete lesen kann, die für andere Adapter bestimmt sind. (Auch bekannt als „Sniffing“ und ein großartiges Tool, um obskure TCP/IP-Kommunikationsfehler zu finden.)
Antwort2
1) Seien Sie immer besorgt ... Die Hacker möchten nicht, dass Sie auf die Protokolle und Ethernet-Geräte achten, die „mysteriöserweise“ ohne Grund den Promiscuous-Modus aktivieren.
2) Der Promiscuous-Modus eines Computers hat nichts mit dem Einfangen von fiesen Viren wie AIDS zu tun... - Nein, aber das Verhalten ist ein Warnsignal und sollte untersucht werden. Solche verräterischen Anzeichen zu ignorieren und sie zu ignorieren, ist die laxe Sicherheitsmentalität, die heutzutage so viele Unternehmen und Institutionen plagt.
Es bedeutet lediglich, dass Ihr Netzwerkadapter TCP/IP-Pakete lesen kann, die für andere Adapter bestimmt sind. (Auch bekannt als „Sniffing“, ein großartiges Tool zum Auffinden obskurer TCP/IP-Kommunikationsfehler.) – Dies ist der Fall, WENN – und ich betone „WENN“ – dies zur Fehlerbehebung geschieht und nicht zum Abfangen von Paketen für böswillige Zwecke, wie etwa zum Footprinting des Netzwerks oder zum Abfangen unverschlüsselter Nachrichten (E-Mails usw.).
Es ist viel besser, auf Nummer Sicher zu gehen, als potenzielle Sicherheitslücken zu ignorieren.
Was die Gründe dafür angeht: Das Einzige, was mir einfällt, ist, Ihre System- und Anwendungsprotokolle für den Zeitpunkt des Geschehens zu überprüfen und sicherzustellen, dass SIE es getan haben und nicht jemand oder etwas anderes.