OSSEC HIDS сообщает: «Интерфейс введен в беспорядочном режиме»
Я установил последнюю версию OSSEC HIDS (2.8.1), и теперь я продолжаю получать от него следующие уведомления по электронной почте:
OSSEC HIDS Notification.
2015 Apr 08 11:26:17
Received From: Bath-Towel->/var/log/syslog
Rule: 5104 fired (level 8) -> "Interface entered in promiscuous(sniffing) mode."
Portion of the log(s):
Apr 8 11:26:15 Bath-Towel kernel: [ 93.311372] device eth0 entered promiscuous mode
--END OF NOTIFICATION
OSSEC HIDS Notification.
2015 Apr 08 11:26:19
Received From: Bath-Towel->/var/log/syslog
Rule: 5104 fired (level 8) -> "Interface entered in promiscuous(sniffing) mode."
Portion of the log(s):
Apr 8 11:26:18 Bath-Towel kernel: [ 95.824941] device eth0 entered promiscuous mode
--END OF NOTIFICATION
OSSEC HIDS Notification.
2015 Apr 08 11:26:23
Received From: Bath-Towel->/var/log/syslog
Rule: 5104 fired (level 8) -> "Interface entered in promiscuous(sniffing) mode."
Portion of the log(s):
Apr 8 11:26:21 Bath-Towel kernel: [ 99.353199] device eth0 entered promiscuous mode
--END OF NOTIFICATION
Так, что это значит и я должен волноваться об этом?
Информация об ОС:
Description: Ubuntu 14.10
Release: 14.10
2 ответа
При установке программного обеспечения, которое позволяет осуществлять сниффинг, и получите это когда стартовое программное обеспечение как WireShark затем:
-
волнение Остановки! У Вас будет сердечный приступ перед Вашим временем! ;-)
-
Неразборчивый режим на компьютере не имеет никакого отношения к ловящим противным вирусам как AIDS... Это просто означает, что Ваш сетевой адаптер сможет считать пакеты TCP/IP, которые предназначены для других адаптеров. (Иначе "сниффинг" и это являются большим инструментом для нахождения неясных коммуникационных ошибок TCP/IP)
1) Всегда беспокойство... Хакеры не хотят, чтобы Вы обратили внимание на журналы и устройства Ethernet, "загадочно" включающие неразборчивый режим ни по какой причине.
2) Неразборчивый режим на компьютере не имеет никакого отношения к ловящим противным вирусам как AIDS... - нет, но поведение является красным флагом и должно быть исследовано. Игнорирование говорит знаки рассказа как это, и отклонение их является слабым мышлением безопасности, которое заполоняет столько компаний и учреждений в эти дни.
Это просто означает, что Ваш сетевой адаптер сможет считать пакеты TCP/IP, которые предназначены для других адаптеров. (Иначе "сниффинг" и это являются большим инструментом для нахождения неясных коммуникационных ошибок TCP/IP) - Это... ЕСЛИ и я подчеркиваю, ДЕЛАЕТСЯ ЛИ это, чтобы диагностировать и не получить пакеты для злонамеренного намерения как нога, печатающая сеть или получающая незашифрованные сообщения (электронная почта, и т.д.).
Допущение ошибки на стороне осторожности намного более предпочтительно затем игнорирующее потенциальное использование безопасности.
Насколько то, почему это произошло... единственная вещь, о которой я могу думать, рассматривает Вашу систему и журналы приложения приблизительно во время, это произошло, и удостоверьтесь, что это было что-то, что ВЫ сделали и не кто-то или что-то еще.