Архив форумов ЦИТФорума

MF_FLIP · Гость

При загрузке компа (FreeBSD) начало появляться сообщение ed0: promiscuous mode enabled. Насколько я знаю - это значит, что моя сетевая карта ловит теперь все пакеты подряд, и используется это всякими сниферами от кулхаЦкераФФ.
Подскажите плз как запретить перефод сетевухи в этот режим и как найти сниффер если он уже есть.
Исспользует ли ipfm этот режим для своей работы?

grange · Гость

А может ты просто себе arpwatch поставил?

Dmitry.Karpov http://www. · Гость

и пришли этот список сюда - очень многие демоны, включая arpwatch, trafd и других, переводят карту в promiscuous режим. Еще можно посмотреть по моменту перехода карты в promiscuous режим, сопоставив его с запуском демонов.

MF_FLIP · Гость

USER PID %CPU %MEM VSZ RSS TT STAT STARTED TIME COMMAND
root 3730 0.0 0.8 416 240 p0 R+ 11:06AM 0:00.00 ps axu
root 1 0.0 0.8 456 216 ?? ILs Mon01PM 0:00.09 /sbin/init --
root 2 0.0 0.0 ?? DL Mon01PM 0:00.41 (pagedaemon)
root 3 0.0 0.0 ?? DL Mon01PM 0:00.00 (vmdaemon)
root 4 0.0 0.0 ?? DL Mon01PM 0:01.78 (bufdaemon)
root 5 0.0 0.0 ?? DL Mon01PM 0:10.54 (syncer)
root 28 0.0 0.3 208 68 ?? Is Mon01PM 0:00.00 adjkerntz -i
root 156 0.0 0.9 512 256 ?? Ss Mon10AM 2:00.73 /sbin/natd -f /e
root 177 0.0 1.9 924 560 ?? Ss Mon10AM 0:06.73 syslogd -s
root 196 0.0 2.4 1040 708 ?? Is Mon10AM 0:00.03 inetd -l
root 198 0.0 2.2 968 640 ?? Is Mon10AM 0:02.71 /usr/sbin/cron
root 239 0.0 2.1 1052 604 con- S Mon10AM 22:03.86 /usr/local/sbin/
root 243 0.0 3.1 1308 904 v0 Is Mon10AM 0:00.30 -csh (csh)
root 245 0.0 2.0 936 572 v2 Is+ Mon10AM 0:00.03 /usr/libexec/get
root 246 0.0 2.0 936 572 v3 Is+ Mon10AM 0:00.03 /usr/libexec/get
root 247 0.0 2.0 936 572 v4 Is+ Mon10AM 0:00.03 /usr/libexec/get
root 248 0.0 2.0 936 572 v5 Is+ Mon10AM 0:00.03 /usr/libexec/get
root 249 0.0 2.0 936 572 v6 Is+ Mon10AM 0:00.03 /usr/libexec/get
root 250 0.0 2.0 936 572 v7 Is+ Mon10AM 0:00.03 /usr/libexec/get
root 253 0.0 0.8 620 232 v0 I+ Mon10AM 0:00.01 /bin/sh /etc/ppp
root 254 0.0 2.8 1168 808 v0 I+ Mon10AM 0:00.34 pppd cuaa1 11520
root 3688 0.0 2.0 936 572 v1 Is+ 10:51AM 0:00.03 /usr/libexec/get
root 3689 0.0 2.8 1232 832 ?? Ss 10:52AM 0:00.69 telnetd -h
mf_flip 3690 0.0 0.9 624 252 p0 Is 10:52AM 0:00.10 -sh (sh)
root 3691 0.0 3.2 1316 936 p0 I 10:52AM 0:00.32 _su (csh)
root 3728 0.0 5.6 1968 1644 p0 S+ 11:06AM 0:00.20 midc
root 3729 0.0 2.6 1092 756 p0 S+ 11:06AM 0:00.07 /bin/csh -c ps a
root 0.0 0.0 ?? DLs Mon01PM 0:00.17 (swapper)

Dmitry.Karpov http://www. · Гость

pppd умеет работать в режиме ARP-Proxy (аналогично choparp), так что подозреваю его (хотя, вроде, ARP-запоосы карта ловит в обычном режиме, они же и так широковещательные)...

А в момент выполнения 'ps' карта была в промискуитетном режиме?

PS: Любители юмора могут посмотреть значение слова "promiscuous" в медицинском словаре.

MF_FLIP · Гость

А в момент выполнения 'ps' карта была в промискуитетном режиме?

ага
в нем самом

ilyasov · Гость

Дима, а на кой черт сдался PPPD ed0?
pppd к нему касательства не имеет...

ilyasov · Гость

В списке процессов есть только путь без имени программы (слишком узкий листинг).
Во-первых, путь очень интересный /usr/local/sbin
а во-вторых там лежит много интересного, в том числе и sniffit, который как раз и включает данную возможность.

ilyasov · Гость

Склероз, приходится самому себе отвечать Sad

.
Переключить сетевой интерфейс в такой режим по идее может только суперпользователь. Отсюда и мысль, что запускается сей демон через /usr/local/etc/rc.d/... Вероятно это какой-нибудь измеритель трафика и тому подобное. На подозрении еще может быть iplog Он как раз запускается таким образом.
Если все сойдется, мораль: в UNIX самый главный враг системы -ее администратор Smile

.

MF_FLIP · Гость

еще разок? Smile

Исспользует ли ipfm этот режим для своей работы?

MF_FLIP · Гость

Точно, это он и был подонок. Smile

Вырубаешь его и сразу появляется сообщение
ed0: promiscuous mode disabled.

Это может повлиять на безопасность?
Если да - то как это лечит? (не использовать ipfm? Smile

)

Dmitry.Karpov http://www. · Гость

(empty)

Dmitry.Karpov http://www. · Гость

На безопасность машины никак не может повлиять ее умение ловить чужие пакеты. Особенно если доступ к выловленной информации имеет только root.

Но обработка чужих пакетов будет отвлекать процессор, а это снизит производительность (ориентировочно в очень загруженной сетИ это может забрать до 200 мегагерц, т.е. P-650 в худшем случае будет работать как P-450), а в реальности все не так уж страшно.

MF_FLIP · Гость

Dmitry.Karpov http://www. · Гость

Потрея пакетов, предназначенных данной машине, не так страшна - пришлют еще раз; а вот потерянные чужие пакеты не будут учтены как трафик.

	Список форумов Архив форумов ЦИТФорума -> Unix	Часовой пояс: GMT + 3
Страница 1 из 1