Foros del Web » Administración de Sistemas » Seguridad y redes »

¿¿Sniffers??

 Estas en el tema de ¿¿Sniffers?? en el foro de Seguridad y redes en Foros del Web. Hola a todos. Instale el Snort 2.0.3 en mi RH9 y al iniciar el sistema me da este mensaje: kernel: eth0: Promiscuous mode enabled. kernel: ...
  #1 (permalink)  
Antiguo 20/11/2003, 18:24
 
Fecha de Ingreso: enero-2002
Mensajes: 417
Antigüedad: 22 años, 4 meses
Puntos: 0
¿¿Sniffers??
Hola a todos. Instale el Snort 2.0.3 en mi RH9 y al iniciar el sistema me da este mensaje:

kernel: eth0: Promiscuous mode enabled.
kernel: device eth0 entered promiscuous mode

Lógicamente, veo que tengo la interfaz eth0 (conectada a Internet) en modo promiscuo. El problema e que con ifconfig no aparece como tal y pasandole el programa chkrootkit tampoco me aparece nada, todo está en condiciones.
También snort me genera muchos avisos de este tipo:

snort: [1:528:4] BAD-TRAFFIC loopback traffic [Classification: Potentially Bad Traffic] [Priority: 2]: {TCP} 127.0.0.1:80 -> "Una IP":1582

Esta IP siempre cambia (y el puerto), pero siempre estando en el mismo segmento de red (tengo cable modem, y compartimos la misma conexión todas las personas conectadas al mismo segmento). Por este hecho, parece que no me debo preocupar demasiado de esto, pero lo de la eth0...

¿Qué puede ser? Si fuera un sniffer, ¿cómo podría eliminarlo? Muchas gracias.
Última edición por SuperJavi; 20/11/2003 a las 18:27
  #2 (permalink)  
Antiguo 21/11/2003, 02:33
Avatar de Alfon
Colaborador
  
Fecha de Ingreso: octubre-2000
Mensajes: 1.976
Antigüedad: 23 años, 6 meses
Puntos: 14
Tranquilo SuperJavi, es que Snort para realizar sus funciones de NIDS tiene que hacer también de sniffer. Así que la interface de red del host donde esté snort instalado tiene que estar obligadamente en modo promíscuo. Es por eso por lo que te dice que eth0 está en este modo.

El hecho de que ifconfig -a no te detecte el modo promíscuo no es extraño, este no es un metodo infalible.

Hay otras herramientas para detectar el modo promíscuo como NEPED ó CPM (Check Promiscuous Mode).

El aviso o alerta que te detecta Snort tampoco tiene problema alguno. Te detecta un tráfico loopback de lo más normal. Tienes que afinar las reglas que tienes activas en snort.conf para que te detecte el tráfico que te interese en las IPs y subrefdes que te interesa también.

La versión actual de Snort es la Snort 2.0.5, que corriege algunos fallos de las anteriores.
__________________
Un saludo,

Alfon
http://seguridadyredes.nireblog.com
Última edición por Alfon; 21/11/2003 a las 02:38
  #3 (permalink)  
Antiguo 21/11/2003, 14:51
 
Fecha de Ingreso: enero-2002
Mensajes: 417
Antigüedad: 22 años, 4 meses
Puntos: 0
Ufff, muchas gracias Alfon, viniendo de ti me da tranquilidad...
También tengo un problema que no sé qué puede ser. Cuando estoy en modo gráfico y cambio a una consola de texto se me llena la pantalla con mensajes de este tipo y no se puede trabajar:

kernel: IN=eth0 OUT= MAC=00:50:fc:41:2f:3a:00:05:00:e2:e0:16:08:00 SRC=<UNA IP> DST=<MI IP> LEN=48 TOS=0x00 PREC=0x00 TTL=123 ID=12224 DF PROTO=TCP SPT=3360 DPT=135 WINDOW=64240 RES=0x00 SYN URGP=0

Aquí, la IP de origen y el puerto cambian a muchos valores. No sé qué puede ser. ¿Tienes alguna idea? Muchas gracias.
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta


« Tema Anterior | Próximo Tema »


La zona horaria es GMT -6. Ahora son las 09:04.