OSSEC HIDS сообщает: «Интерфейс вошел в беспорядочный (сниффинг) режим»

tag-icon tag-icon networking security ethernet syslog ossec
OSSEC HIDS сообщает: «Интерфейс вошел в беспорядочный (сниффинг) режим»

Я установил последнюю версиюOSSEC HIDS(2.8.1), и теперь я продолжаю получать от него следующие уведомления по электронной почте:

OSSEC HIDS Notification.
2015 Apr 08 11:26:17

Received From: Bath-Towel->/var/log/syslog
Rule: 5104 fired (level 8) -> "Interface entered in promiscuous(sniffing) mode."
Portion of the log(s):

Apr  8 11:26:15 Bath-Towel kernel: [   93.311372] device eth0 entered promiscuous mode



 --END OF NOTIFICATION



OSSEC HIDS Notification.
2015 Apr 08 11:26:19

Received From: Bath-Towel->/var/log/syslog
Rule: 5104 fired (level 8) -> "Interface entered in promiscuous(sniffing) mode."
Portion of the log(s):

Apr  8 11:26:18 Bath-Towel kernel: [   95.824941] device eth0 entered promiscuous mode



 --END OF NOTIFICATION



OSSEC HIDS Notification.
2015 Apr 08 11:26:23

Received From: Bath-Towel->/var/log/syslog
Rule: 5104 fired (level 8) -> "Interface entered in promiscuous(sniffing) mode."
Portion of the log(s):

Apr  8 11:26:21 Bath-Towel kernel: [   99.353199] device eth0 entered promiscuous mode



 --END OF NOTIFICATION

Так что же это значит и стоит ли мне об этом беспокоиться?

Информация об ОС:

Description:    Ubuntu 14.10
Release:    14.10

решение1

Если вы установили программное обеспечение, позволяющее прослушивать пакеты, и видите это при запуске программного обеспечения, например WireShark, то:

  1. Перестань волноваться! У тебя случится сердечный приступ раньше времени! ;-)

  2. Неразборчивый режим на компьютере не имеет ничего общего с заражением опасными вирусами, такими как СПИД... Он просто означает, что ваш сетевой адаптер сможет читать пакеты TCP/IP, предназначенные для других адаптеров. (Так называемый «нюхание», и это отличный инструмент для поиска скрытых ошибок связи TCP/IP)

решение2

1) Всегда беспокойтесь... Хакеры не хотят, чтобы вы обращали внимание на логи и сетевые устройства, «таинственно» включающие беспорядочный режим без причины.

2) Неразборчивый режим на компьютере не имеет ничего общего с заражением такими опасными вирусами, как СПИД... - Нет, но такое поведение является красным флагом и должно быть расследовано. Игнорирование таких красноречивых признаков и их отбрасывание - это небрежное отношение к безопасности, которое преследует так много предприятий и учреждений в наши дни.

Это просто означает, что ваш сетевой адаптер сможет считывать пакеты TCP/IP, предназначенные для других адаптеров. (Также известный как «сниффинг», и это отличный инструмент для поиска скрытых ошибок связи TCP/IP) - Это... ЕСЛИ, и я подчеркиваю «ЕСЛИ», это делается для устранения неполадок, а не для перехвата пакетов со злым умыслом, например, для отслеживания сети или перехвата незашифрованных сообщений (электронной почты и т. д.).

Гораздо предпочтительнее проявить осторожность, чем игнорировать потенциальные уязвимости безопасности.

Что касается того, почему это произошло... единственное, что я могу придумать, это просмотреть журналы вашей системы и приложений за тот момент, когда это произошло, и убедиться, что это сделали именно ВЫ, а не кто-то или что-то другое.

Связанный контент