OSSEC HIDS meldet "Schnittstelle im Promiscuous-Modus (Sniffing-Modus) eingegeben"

1

Ich habe die neueste Version von OSSEC HIDS (2.8.1) installiert und erhalte nun folgende E-Mail-Benachrichtigungen:

OSSEC HIDS Notification.
2015 Apr 08 11:26:17

Received From: Bath-Towel->/var/log/syslog
Rule: 5104 fired (level 8) -> "Interface entered in promiscuous(sniffing) mode."
Portion of the log(s):

Apr  8 11:26:15 Bath-Towel kernel: [   93.311372] device eth0 entered promiscuous mode



 --END OF NOTIFICATION



OSSEC HIDS Notification.
2015 Apr 08 11:26:19

Received From: Bath-Towel->/var/log/syslog
Rule: 5104 fired (level 8) -> "Interface entered in promiscuous(sniffing) mode."
Portion of the log(s):

Apr  8 11:26:18 Bath-Towel kernel: [   95.824941] device eth0 entered promiscuous mode



 --END OF NOTIFICATION



OSSEC HIDS Notification.
2015 Apr 08 11:26:23

Received From: Bath-Towel->/var/log/syslog
Rule: 5104 fired (level 8) -> "Interface entered in promiscuous(sniffing) mode."
Portion of the log(s):

Apr  8 11:26:21 Bath-Towel kernel: [   99.353199] device eth0 entered promiscuous mode



 --END OF NOTIFICATION

Also, was bedeutet das und sollte ich mir darüber Sorgen machen?


Informationen zum Betriebssystem:

Description:    Ubuntu 14.10
Release:    14.10

quelle
Haben Sie tcpdump oder wireshark oder ähnliches installiert (und möglicherweise ausgeführt)?
muru
@muru: Nicht das ich wüsste. Aber wie könnte ich das überprüfen?
apt-cache policy wireshark tcpdump
muru
@muru: Wireshark scheint nicht installiert zu sein, tcpdump jedoch. Aber wie würde ich überprüfen, ob diese Aktivität tcpdump ist?
Das weiß ich nicht. Ich weiß nur, dass die Verwendung von tcpdump normalerweise die Schnittstelle in den Promiscuous-Modus versetzt.
muru

Antworten:

2

Wenn Sie Software installiert haben, die das Schnüffeln ermöglicht, und diese beim Starten von Software wie WireShark erhalten haben, dann:

  1. Hör auf dir Sorgen zu machen! Sie werden vor Ihrer Zeit einen Herzinfarkt haben! ;-)

  2. Der Promiscuous-Modus auf einem Computer hat nichts mit dem Abfangen von bösen Viren wie AIDS zu tun. Dies bedeutet lediglich, dass Ihr Netzwerkadapter TCP / IP-Pakete lesen kann, die für andere Adapter bestimmt sind. (Aka "schnüffelt" und das ist ein großartiges Tool, um obskure TCP / IP-Kommunikationsfehler zu finden)

Fabby
quelle
-1

1) Sorgen Sie sich immer ... Die Hacker möchten nicht, dass Sie den Protokollen und Ethernet-Geräten "auf mysteriöse Weise" Aufmerksamkeit schenken und den Promiscuous-Modus ohne Grund aktivieren.

2) Der Promiscuous-Modus auf einem Computer hat nichts damit zu tun, böse Viren wie AIDS abzufangen ... - Nein, aber das Verhalten ist eine rote Fahne und sollte untersucht werden. Das Ignorieren von solchen Anzeichen und das Abweisen von Anzeichen ist die nachlässige Sicherheitshaltung, die heutzutage so viele Unternehmen und Institutionen plagt.

Dies bedeutet lediglich, dass Ihr Netzwerkadapter TCP / IP-Pakete lesen kann, die für andere Adapter bestimmt sind. (Aka "schnüffeln" und das ist ein großartiges Werkzeug, um obskure TCP / IP-Kommunikationsfehler zu finden) - Es ist ... IF und ich betone "IF", um Fehler zu beheben und keine Pakete für böswillige Absichten wie das Drucken des Netzwerks zu erfassen oder Erfassen von unverschlüsselten Nachrichten (E-Mail usw.).

Vorsicht ist viel vorzuziehen, als potenzielle Sicherheitslücken zu schließen.

Was den Grund angeht, ist das Einzige, woran ich denken kann, dass Sie Ihre System- und Anwendungsprotokolle etwa zum Zeitpunkt des Ereignisses überprüfen und sicherstellen, dass Sie es getan haben und nicht jemand oder etwas anderes.

motorisch
quelle