- PR -

セキュリティ:プロミスキャスモードについて

1
投稿者投稿内容
Faya
会議室デビュー日: 2003/06/03
投稿数: 2
投稿日時: 2003-06-03 19:30
はじめまして!
私は今プロミスキャスモードの検出ついて調べていますが、それについて質問させていただきたいと思います。

@なぜプロミスキャスモードが問題になるのか、どこに問題があるのか。
A管理者が仕事でプロミスキャスに設定しているような場合、それをどのようにして
  見分けるのか。

宜しくお願いします。
bun
会議室デビュー日: 2002/03/07
投稿数: 6
投稿日時: 2003-06-07 09:54
通常 Network Interface Card(NIC)は、自分宛てのパケットしか受け取らず、
他人宛てのパケットは破棄するようになっているはずです。
(ここで自分宛てか他人宛てかは、Ethernet の場合 MAC アドレスで識別しています)
ところがプロミスキャスモードにすると、他人宛てのパケットも受け取るようになります。

そのため、
> @なぜプロミスキャスモードが問題になるのか、どこに問題があるのか。
他人宛てのパケットを覗き見ることができます。
Sniffer が動いていると、多くの場合 NIC がプロミスキャスモードになっているでしょう。

> A管理者が仕事でプロミスキャスに設定しているような場合、それをどのようにして
>   見分けるのか。
UNIX/Linux では、ifconfig コマンドが簡単でしょう。

freebsd:~$ ifconfig
fxp0: flags=8943<UP,BROADCAST,RUNNING,PROMISC,SIMPLEX,MULTICAST> mtu 1500

PROMISC と表示されます。
j-zamrai
会議室デビュー日: 2003/05/21
投稿数: 5
投稿日時: 2003-06-09 10:23
Fayaさん、bunさん、こんにちは。

「arpパケット」を利用したプロミスキャス・ノードの検出方法が次の場所でPDF形式で入手可能なようです。(英文です。)
http://www.securityfriday.com/promiscuous_detection_01.pdf

日本人によって運営されている有名なSecurity Fridayのメンバーの方が過去にこの内容をDEFCONで発表した雑誌記事を読んだことがあります。

ドメイン内のノードにarpパケットを送信してみて、その返答内容でNICのモードを判定できるそうです。
1

スキルアップ/キャリアアップ(JOB@IT)