[FreeBSD 4.9]tlo: promiscious mode disabled - Linux en overige clients

dinsdag 16 maart 2004 12:28

Acties:

Verwijderd

Topicstarter

Na 105 dagen uptime halt ik net mijn FreeBSD 4.9 server. Bij het halten kreeg ik de message 'tl0:promiscious mode disabled'.

Schrik! Promiscious mode > ger00t?

Ik ben dus te laat met de TCP stack patch (laatste advisory), maar ik kon me even geen downtime veroorloven. Ik moet hem nu verplaatsen, dus kan ik hem mooi patchen... maar is dit een reden om heel bang te worden?

/me == stupid

_{Topic zegt 4.8: typefoutje... het is 4.9}

[ Voor 27% gewijzigd door Verwijderd op 16-03-2004 12:32 ]

dinsdag 16 maart 2004 12:34

Acties:

dawuss

gadgeteer

Even [google=promiscuous mode] leverde de volgende definitie op:

1) In a network, promiscuous mode allows a network device to intercept and read each network packet that arrives in its entirety. This mode of operation is sometimes given to a network snoop server that captures and saves all packets for analysis (for example, for monitoring network usage).

2) In an Ethernet local area network (LAN), promiscuous mode is a mode of operation in which every data packet transmitted can be received and read by a network adapter. Promiscuous mode must be supported by each network adapter as well as by the input/output driver in the host operating system. Promiscuous mode is often used to monitor network activity.

Promiscuous mode is the opposite of non-promiscuous mode. When a data packet is transmitted in non-promiscuous mode, all the LAN devices "listen to" the data to determine if the network address included in the data packet is theirs. If it isn't, the data packet is passed onto the next LAN device until the device with the correct network address is reached. That device then receives and reads the data.

Klinkt niet echt bedreigend dus. Sterker nog: Promiscuous mode lijkt me zelfs gewenst hier.

micheljansen.org
Fulltime Verslaafde Commandline Fetisjist ©

dinsdag 16 maart 2004 12:37

Acties:

mph_rbi

dus ...

weet je zeker dat je niet toevallig een sniffer hebt geinstalled op je BSD machine? Promiscous mode wordt hierdoor gebruikt om pakketten te inspecteren en af te luisteren. Als je zeker weet dat je zelf geen ethereal of andere sniffer hebt gebruikt op je BSD bak, dan wordt het inderdaad wel tijd om een klein beetje bang te worden, want dat zou er op kunnen duiden dat er inderdaad iemand je verkeer aan het afluisteren is.

dawuss schreef op 16 maart 2004 @ 12:34:
Even [google=promiscuous mode] leverde de volgende definitie op:

[...]

Klinkt niet echt bedreigend dus. Sterker nog: Promiscuous mode lijkt me zelfs gewenst hier.

Mag ik vragen hoe jij bij deze conclusie komt? Promisc mode lijkt me juist NIET gewenst

[ Voor 31% gewijzigd door mph_rbi op 16-03-2004 12:39 ]

dus ...

dinsdag 16 maart 2004 12:40

Acties:

Verwijderd

Topicstarter

mph_rbi schreef op 16 maart 2004 @ 12:37:
weet je zeker dat je niet toevallig een sniffer hebt geinstalled op je BSD machine? Promiscous mode wordt hierdoor gebruikt om pakketten te inspecteren en af te luisteren. Als je zeker weet dat je zelf geen ethereal of andere sniffer hebt gebruikt op je BSD bak, dan wordt het inderdaad wel tijd om een klein beetje bang te worden, want dat zou er op kunnen duiden dat er inderdaad iemand je verkeer aan het afluisteren is.

Nop geen ethereal op deze machine

Wel nmap, maar die zet de nic niet in p-m imo?

dinsdag 16 maart 2004 12:43

Acties:

dawuss

gadgeteer

mph_rbi schreef op 16 maart 2004 @ 12:37:
weet je zeker dat je niet toevallig een sniffer hebt geinstalled op je BSD machine? Promiscous mode wordt hierdoor gebruikt om pakketten te inspecteren en af te luisteren. Als je zeker weet dat je zelf geen ethereal of andere sniffer hebt gebruikt op je BSD bak, dan wordt het inderdaad wel tijd om een klein beetje bang te worden, want dat zou er op kunnen duiden dat er inderdaad iemand je verkeer aan het afluisteren is.

[...]

Mag ik vragen hoe jij bij deze conclusie komt? Promisc mode lijkt me juist NIET gewenst

Hmm, ik interpreteerde het woord "disabled" in die melding denk ik verkeerd

micheljansen.org
Fulltime Verslaafde Commandline Fetisjist ©

dinsdag 16 maart 2004 12:57

Acties:

Zwerver

title fix

Woonachtig Down Under. Ik negeer je insults niet, maar tegen de tijd dat ik ze lees zijn ze meestal niet relevant meer

dinsdag 16 maart 2004 15:31

Acties:

zwik

randomized

Even kijken met chkrootkit of die iets vind.

dinsdag 16 maart 2004 18:33

Acties:

serkoon

mekker.

Die TCP 'bug' was een DoS-situatie, dus daaraan kan het niet liggen.

Een echte hack lijkt me vrij onwaarschijnlijk. Wat me wat waarschijnlijker lijkt is dhclient. Dhclient snifft op je interface(s) om de responses van de dhcpd te kunnen afvangen, namelijk..

dinsdag 16 maart 2004 20:51

Acties:

Verwijderd

Topicstarter

serkoon schreef op 16 maart 2004 @ 18:33:
Die TCP 'bug' was een DoS-situatie, dus daaraan kan het niet liggen.

Een echte hack lijkt me vrij onwaarschijnlijk. Wat me wat waarschijnlijker lijkt is dhclient. Dhclient snifft op je interface(s) om de responses van de dhcpd te kunnen afvangen, namelijk..

De DHCP server stuurt imo direct naar het ethernet adres van de computer, geen broadcast? Volgens mij gaat hij daarvan niet in promiscious mode?

Die TCP bug was idd een DoS situatie, maar ik draai ook wat services, dus de kans is altijd aanwezig (wel let ik er altijd goed op)

donderdag 18 maart 2004 15:06

Acties:

serkoon

mekker.

Verwijderd schreef op 16 maart 2004 @ 20:51:
De DHCP server stuurt imo direct naar het ethernet adres van de computer, geen broadcast? Volgens mij gaat hij daarvan niet in promiscious mode?

Het lijkt er inderdaad op dat dhclient de interface niet in promisc. mode zet. Er wordt wel gesnifft dmv BPF, maar promisc. is idd niet nodig.

Een chkrootkit is dan, zoals gezegd, wel een goed id. Het zou ook een in de achtergrond draaiende tcpdump oid geweest kunnen zijn, maarja..