- - PR -
セキュリティ:プロミスキャスモードについて
1
投稿者 | 投稿内容 |
---|---|
|
投稿日時: 2003-06-03 19:30
はじめまして!
私は今プロミスキャスモードの検出ついて調べていますが、それについて質問させていただきたいと思います。 @なぜプロミスキャスモードが問題になるのか、どこに問題があるのか。 A管理者が仕事でプロミスキャスに設定しているような場合、それをどのようにして 見分けるのか。 宜しくお願いします。 |
|
投稿日時: 2003-06-07 09:54
通常 Network Interface Card(NIC)は、自分宛てのパケットしか受け取らず、
他人宛てのパケットは破棄するようになっているはずです。 (ここで自分宛てか他人宛てかは、Ethernet の場合 MAC アドレスで識別しています) ところがプロミスキャスモードにすると、他人宛てのパケットも受け取るようになります。 そのため、 > @なぜプロミスキャスモードが問題になるのか、どこに問題があるのか。 他人宛てのパケットを覗き見ることができます。 Sniffer が動いていると、多くの場合 NIC がプロミスキャスモードになっているでしょう。 > A管理者が仕事でプロミスキャスに設定しているような場合、それをどのようにして > 見分けるのか。 UNIX/Linux では、ifconfig コマンドが簡単でしょう。 freebsd:~$ ifconfig fxp0: flags=8943<UP,BROADCAST,RUNNING,PROMISC,SIMPLEX,MULTICAST> mtu 1500 PROMISC と表示されます。 |
|
投稿日時: 2003-06-09 10:23
Fayaさん、bunさん、こんにちは。
「arpパケット」を利用したプロミスキャス・ノードの検出方法が次の場所でPDF形式で入手可能なようです。(英文です。) http://www.securityfriday.com/promiscuous_detection_01.pdf 日本人によって運営されている有名なSecurity Fridayのメンバーの方が過去にこの内容をDEFCONで発表した雑誌記事を読んだことがあります。 ドメイン内のノードにarpパケットを送信してみて、その返答内容でNICのモードを判定できるそうです。 |
1