OSSEC HIDS relata "Interface inserida em modo promíscuo (sniffing)"

tag-icon tag-icon networking security ethernet syslog ossec
OSSEC HIDS relata "Interface inserida em modo promíscuo (sniffing)"

Eu instalei a versão mais recente doOSSEC ESCONDE(2.8.1), e agora continuo recebendo estas notificações por e-mail:

OSSEC HIDS Notification.
2015 Apr 08 11:26:17

Received From: Bath-Towel->/var/log/syslog
Rule: 5104 fired (level 8) -> "Interface entered in promiscuous(sniffing) mode."
Portion of the log(s):

Apr  8 11:26:15 Bath-Towel kernel: [   93.311372] device eth0 entered promiscuous mode



 --END OF NOTIFICATION



OSSEC HIDS Notification.
2015 Apr 08 11:26:19

Received From: Bath-Towel->/var/log/syslog
Rule: 5104 fired (level 8) -> "Interface entered in promiscuous(sniffing) mode."
Portion of the log(s):

Apr  8 11:26:18 Bath-Towel kernel: [   95.824941] device eth0 entered promiscuous mode



 --END OF NOTIFICATION



OSSEC HIDS Notification.
2015 Apr 08 11:26:23

Received From: Bath-Towel->/var/log/syslog
Rule: 5104 fired (level 8) -> "Interface entered in promiscuous(sniffing) mode."
Portion of the log(s):

Apr  8 11:26:21 Bath-Towel kernel: [   99.353199] device eth0 entered promiscuous mode



 --END OF NOTIFICATION

Então, o que isso significa e devo me preocupar com isso?

Informações do sistema operacional:

Description:    Ubuntu 14.10
Release:    14.10

Responder1

Se você instalou um software que permite farejar e obteve isso ao iniciar um software como o WireShark, então:

  1. Pare de se preocupar! Você terá um ataque cardíaco antes do tempo! ;-)

  2. O modo promíscuo em um computador não tem nada a ver com a captura de vírus desagradáveis ​​como AIDS... Significa apenas que seu adaptador de rede será capaz de ler pacotes TCP/IP destinados a outros adaptadores. (Aka "sniffing" e é uma ótima ferramenta para encontrar bugs obscuros de comunicação TCP/IP)

Responder2

1) Sempre se preocupe...Os hackers não querem que você preste atenção aos logs e dispositivos Ethernet "misteriosamente" ativando o modo promíscuo sem motivo.

2) O modo promíscuo em um computador não tem nada a ver com a captura de vírus desagradáveis ​​como a AIDS... - Não, mas o comportamento é um sinal de alerta e deve ser investigado. Ignorar sinais reveladores como esse e descartá-los é a mentalidade negligente de segurança que assola tantas empresas e instituições atualmente.

Significa apenas que seu adaptador de rede será capaz de ler pacotes TCP/IP destinados a outros adaptadores. (Também conhecido como "sniffing" e é uma ótima ferramenta para encontrar bugs obscuros de comunicação TCP/IP) - É... SE e eu enfatizo "SE" está sendo feito para solucionar problemas e não capturar pacotes com intenções maliciosas, como impressão de pés na rede ou capturar mensagens não criptografadas (e-mail, etc.).

Errar por excesso de cautela é muito mais preferível do que ignorar possíveis explorações de segurança.

Quanto ao motivo disso acontecer... a única coisa que consigo pensar é revisar os logs do sistema e do aplicativo no momento em que aconteceu e ter certeza de que foi algo que VOCÊ fez e não alguém ou outra coisa.

informação relacionada