我已经安装了最新版本的奥塞克(2.8.1),我现在不断收到这些电子邮件通知:
OSSEC HIDS Notification.
2015 Apr 08 11:26:17
Received From: Bath-Towel->/var/log/syslog
Rule: 5104 fired (level 8) -> "Interface entered in promiscuous(sniffing) mode."
Portion of the log(s):
Apr 8 11:26:15 Bath-Towel kernel: [ 93.311372] device eth0 entered promiscuous mode
--END OF NOTIFICATION
OSSEC HIDS Notification.
2015 Apr 08 11:26:19
Received From: Bath-Towel->/var/log/syslog
Rule: 5104 fired (level 8) -> "Interface entered in promiscuous(sniffing) mode."
Portion of the log(s):
Apr 8 11:26:18 Bath-Towel kernel: [ 95.824941] device eth0 entered promiscuous mode
--END OF NOTIFICATION
OSSEC HIDS Notification.
2015 Apr 08 11:26:23
Received From: Bath-Towel->/var/log/syslog
Rule: 5104 fired (level 8) -> "Interface entered in promiscuous(sniffing) mode."
Portion of the log(s):
Apr 8 11:26:21 Bath-Towel kernel: [ 99.353199] device eth0 entered promiscuous mode
--END OF NOTIFICATION
那么这意味着什么?我应该担心吗?
操作系统信息:
Description: Ubuntu 14.10
Release: 14.10
答案1
如果您安装了允许嗅探的软件,并且在启动 WireShark 等软件时获得此信息,则:
别担心!你会提前心脏病发作的! ;-)
计算机上的混杂模式与感染艾滋病等恶性病毒无关……它只是意味着您的网络适配器将能够读取用于其他适配器的 TCP/IP 数据包。(又称“嗅探”,这是一种查找隐蔽的 TCP/IP 通信错误的好工具)
答案2
1) 总是担心……黑客不希望您关注日志和以太网设备“神秘地”无缘无故地打开混杂模式。
2) 计算机上的混杂模式与感染艾滋病等恶性病毒无关…… - 不,但这种行为是一个危险信号,应该进行调查。忽视这类迹象并置之不理是当今困扰许多企业和机构的松懈安全心态。
这仅意味着您的网络适配器将能够读取用于其他适配器的 TCP/IP 数据包。(又称“嗅探”,这是查找隐蔽的 TCP/IP 通信错误的绝佳工具)- 是的...如果(我强调“如果”)这样做是为了排除故障,而不是为了恶意捕获数据包,例如跟踪网络或捕获未加密的消息(电子邮件等)。
谨慎行事比忽视潜在的安全漏洞要好得多。
至于为什么会发生这种情况...我唯一能想到的就是检查一下事情发生时的系统和应用程序日志,确保这是你做的事情,而不是其他人或物所为。