Válogatás nélküli üzemmód
Ez a szócikk nem tünteti fel a független forrásokat, amelyeket felhasználtak a készítése során. Emiatt nem tudjuk közvetlenül ellenőrizni, hogy a szócikkben szereplő állítások helytállóak-e. Segíts megbízható forrásokat találni az állításokhoz! Lásd még: A Wikipédia nem az első közlés helye. |
|
Ez a szócikk vagy szakasz lektorálásra, tartalmi javításokra szorul. |
A válogatás nélküli üzemmód vagy promiscuous mode számítógépek hálózati kártyájának olyan beállítását jelenti, amikor minden bejövő forgalmat továbbít a processzor felé, nem csak azokat, amiket neki címeztek. Célja általában a csomaglehallgatás (packet sniffing).
A hálózati keretek tartalmaznak egy hardvercímet (MAC-cím). Amikor a hálózati kártyába egy keret beérkezik, általában eldobja, ha nem neki van címezve. A válogatás nélküli üzemmódban futó kártya azonban beenged minden hálózati keretet, így lehetővé téve, hogy a számítógép beolvashassa a más számítógépek vagy hálózati eszközök számára elküldött kereteket.
Sok operációs rendszerben rendszergazdai jogosultságra van szükség a válogatás nélküli üzemmód bekapcsolásához. Egy útválasztást nem végző hálózati csomópont válogatás nélküli üzemmódban általában csak azoknak a csomópontoknak a forgalmát képes lehallgatni, amikkel egy ütközési tartományban van (Ethernet és WLAN esetében) vagy ugyanabban a gyűrűben (Token ringnél vagy FDDI-nél). Az ugyanarra a hubra csatlakozó számítógépek megfelelnek ennek a követelménynek, a hálózati kapcsolók alkalmazása azonban meggátolja a válogatás nélküli üzemmód rosszindulatú használatát. Egy útválasztó képes minden, általa továbbított forgalom monitorozására.
A válogatás nélküli üzemmódot gyakran használják hálózati problémák diagnosztizálására. Léteznek programok (pl. NetMon), melyek vizuálisan megmutatják a felhasználónak a hálózaton átvitt adatcsomagokat. Egyes protokollok, mint pl. az FTP vagy a telnet sima szövegként (titkosítás nélkül) viszik át az adatokat és a jelszavakat a hálózaton, amit a network scannerek meg tudnak mutatni. Ezért is ajánlott a nem biztonságos protokollok használatának visszaszorítása, és telnet helyett pl. SSH használata.
A promiscuous mode-ot transzparens hálózati hidakban is alkalmazzák, hogy minden hálózati forgalmat képes legyen elnyelni, aminek át kell jutnia a hídon, és a másik oldalon újra kibocsátani.
Észlelés
[szerkesztés]Mivel a válogatás nélküli üzemmódot rosszindulatú céllal is lehet használni a hálózaton való hallgatózásra, fontos lehet ismerni a módszereket a promiscuous mode-ban lévő eszközök felderítésére. Lényegében két módszer ismert erre:
- Ha egy hálózati eszköz válogatás nélküli üzemmódban fut, a kernelnek minden hálózati forgalmat fel kell dolgoznia, tehát a CPU-terhelés megnő. Így a hálózati válaszidő megnő, ami detektálható.
- Válogatás nélküli üzemmódban egyes szoftverek választ küldhetnek olyan hálózati keretekre, amik más gépnek lettek címezve. Ha ilyen válaszüzenetek láthatók a hálózaton, biztos, hogy a küldő gép válogatás nélküli üzemmódban van. Gyakorlott lehallgatók ezt persze kiküszöbölhetik (pl. jól megválasztott tűzfalbeállítások használatával). Egy példa lehet ping küldése (ICMP echo request) rossz MAC-címmel de helyes IP-címmel. Ha a tűzfal blokkolja az ICMP-forgalmat, ez megakadályozható.
A válogatás nélküli üzemmódot gyakran rosszindulatú alkalmazások használják, először rendszergazdai jogokat szerezve, majd ARP-hamisítást és IP-hamisítást elkövetve. Az ARP-hamisításhoz a hálózati kártyának promiscuous mode-ban kell lennie. Így az indokolatlanul válogatás nélküli üzemmódban lévő gépek szűrése fontos lépés az ARP-hamisítás felderítésére.
Válogatás nélküli üzemmódot használó alkalmazások
[szerkesztés]- Aircrack-ng
- KisMAC (WLAN-okhoz)
- AirSnort (WLAN-okhoz)
- Wireshark (korábbi nevén Ethereal)
- tcpdump
- IPTraf
- PRTG
- Kismet
- a VMware VMnet hálózati hídja
- Cain
- Driftnet Software
- Microsoft Windows Network Bridge
- XLink Kai
- WC3Banlist
- Snort
- ntop
- VirtualBox (hálózatihíd-üzemmódban)
- SmartSniff
Fordítás
[szerkesztés]- Ez a szócikk részben vagy egészben a Promiscuous mode című angol Wikipédia-szócikk ezen változatának fordításán alapul. Az eredeti cikk szerkesztőit annak laptörténete sorolja fel. Ez a jelzés csupán a megfogalmazás eredetét és a szerzői jogokat jelzi, nem szolgál a cikkben szereplő információk forrásmegjelöléseként.