我已經安裝了最新版本OSSEC HIDS(2.8.1),我現在不斷收到這些電子郵件通知:
OSSEC HIDS Notification.
2015 Apr 08 11:26:17
Received From: Bath-Towel->/var/log/syslog
Rule: 5104 fired (level 8) -> "Interface entered in promiscuous(sniffing) mode."
Portion of the log(s):
Apr 8 11:26:15 Bath-Towel kernel: [ 93.311372] device eth0 entered promiscuous mode
--END OF NOTIFICATION
OSSEC HIDS Notification.
2015 Apr 08 11:26:19
Received From: Bath-Towel->/var/log/syslog
Rule: 5104 fired (level 8) -> "Interface entered in promiscuous(sniffing) mode."
Portion of the log(s):
Apr 8 11:26:18 Bath-Towel kernel: [ 95.824941] device eth0 entered promiscuous mode
--END OF NOTIFICATION
OSSEC HIDS Notification.
2015 Apr 08 11:26:23
Received From: Bath-Towel->/var/log/syslog
Rule: 5104 fired (level 8) -> "Interface entered in promiscuous(sniffing) mode."
Portion of the log(s):
Apr 8 11:26:21 Bath-Towel kernel: [ 99.353199] device eth0 entered promiscuous mode
--END OF NOTIFICATION
那麼這意味著什麼?
作業系統資訊:
Description: Ubuntu 14.10
Release: 14.10
答案1
如果您安裝了允許嗅探的軟體,並在啟動 WireShark 等軟體時獲取此信息,則:
別擔心!你很快就會心臟病發作! ;-)
電腦上的混雜模式與捕捉愛滋病等令人討厭的病毒無關......它只是意味著您的網路適配器將能夠讀取發送給其他適配器的 TCP/IP 封包。 (又稱“嗅探”,這是尋找晦澀的 TCP/IP 通訊錯誤的好工具)
答案2
1)總是擔心......駭客不希望你專注於日誌和乙太網路設備無緣無故地「神秘地」打開混雜模式。
2) 電腦上的混雜模式與捕捉愛滋病等討厭的病毒無關... - 不,但這種行為是一個危險信號,應該進行調查。忽視這樣的跡象並忽視它們是當今困擾許多企業和機構的鬆懈的安全心態。
它只是意味著您的網路介面卡將能夠讀取發送給其他適配器的 TCP/IP 封包。 (又名“嗅探”,這是一個很好的工具,可以找到模糊的TCP/IP 通信錯誤) - 這是......如果我強調“如果”它是為了排除故障而不是捕獲數據包以進行惡意意圖,例如足跡網路或捕獲未加密的訊息(電子郵件等)。
謹慎行事比忽視潛在的安全漏洞要好得多。
至於為什麼會發生這種情況......我唯一能想到的就是在它發生時檢查您的系統和應用程式日誌,並確保這是您所做的事情,而不是其他人或其他事情。