Promiscuous Mode: Unterschied zwischen den Versionen

Aus Foxwiki
K Textersetzung - „Man-Pages“ durch „Man-Page“
 
(52 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
Der '''promiskuitive Modus''' oder '''Promiscuous-Modus''' (aus dem [[englische Sprache|englischen]] ''‚{{lang|en|promiscuous mode}}‘'' [[Entlehnung|entlehnt]], etwa für ''„freizügiger Modus“'') bezeichnet einen bestimmten Empfangsmodus für [[Rechnernetz|netzwerktechnische]] Geräte.
'''Promiscuous Mode''' -
* promiskuitive Modus''' oder '''Promiscuous-Modus'''  
* bezeichnet einen bestimmten Empfangsmodus für [[Rechnernetz|netzwerktechnische]] Geräte


== Beschreibung ==
== Beschreibung ==
In diesem Modus liest das Gerät den ''gesamten'' ankommenden Datenverkehr an die in diesen Modus geschaltete [[Netzwerkschnittstelle]] mit (anstatt nur den für das Gerät bestimmten Datenverkehr) und gibt die Daten zur Verarbeitung an das [[Betriebssystem]] weiter. Dies kann beispielsweise zum Betrieb virtueller Maschinen notwendig sein, die hierdurch eine eigene Netzwerkschnittstelle erhalten.
Aus dem [[englische Sprache|englischen]] ''‚{{lang|en|promiscuous mode}}‘'' [[Entlehnung|entlehnt]], etwa für ''„freizügiger Modus“''


Geräte, die diesen Modus benutzen, können Kombinationen aus [[Switch (Computertechnik)|Switch]] und [[Router]], [[Netzwerktester]] oder auch normale [[Personal Computer|Computer]] mit Anschluss an ein Netzwerk sein.
; In diesem Modus liest das Gerät den ''gesamten'' ankommenden Datenverkehr an die in diesen Modus geschaltete [[Netzwerkschnittstelle]] mit (anstatt nur den für das Gerät bestimmten Datenverkehr) und gibt die Daten zur Verarbeitung an das [[Betriebssystem]] weiter.
* Dies kann beispielsweise zum Betrieb virtueller Maschinen notwendig sein, die hierdurch eine eigene Netzwerkschnittstelle erhalten
* Geräte, die diesen Modus benutzen, können Kombinationen aus [[Switch (Computertechnik)|Switch]] und [[Router]], [[Netzwerktester]] oder auch normale [[Personal Computer|Computer]] mit Anschluss an ein Netzwerk sein


Bei [[Wireless LAN]]s (WLANs) werden im ''promiscuous mode'' auch Pakete weitergeleitet, die nicht an einen selbst gerichtet sind, aber es werden nur die Pakete des Netzwerks (Accesspoints) weitergeleitet, mit dem der Client gerade verbunden ist. Da das Herstellen einer Verbindung mit dem Netzwerk normalerweise mit einer [[Authentifizierung]] einhergeht, ist der ''promiscuous mode'' nicht geeignet, um Pakete eines Netzwerks aufzufangen, zu dem man keinen direkten Zugang hat. Will man alle Pakete, aller erreichbaren WLAN Netze empfangen, ist dazu der [[Monitor Mode]] nötig.<ref>{{Internetquelle |autor=Patrick Schnabel  |url=https://www.elektronik-kompendium.de/sites/net/2008051.htm |titel=WLAN-Hacking: Monitor Mode|werk=Elektronik Kompendium |hrsg=Elektronik-Kompendium.de |datum=2019-08-11 |abruf=2019-09-11 |zitat= Wenn man aber den Datenverkehr aller WLANs analysieren oder sogar aufzeichnen möchte, dann will man auch alle Datenpakete empfangen. Dazu muss man den jeweiligen WLAN-Adapter in den Monitor Mode schalten.}}</ref>
; Bei [[Wireless LAN]]s (WLANs) werden im ''promiscuous mode'' auch Pakete weitergeleitet, die nicht an einen selbst gerichtet sind
* aber es werden nur die Pakete des Netzwerks (Accesspoints) weitergeleitet, mit dem der Client gerade verbunden ist.  
* Da das Herstellen einer Verbindung mit dem Netzwerk normalerweise mit einer [[Authentifizierung]] einhergeht, ist der ''promiscuous mode'' nicht geeignet, um Pakete eines Netzwerks aufzufangen, zu dem man keinen direkten Zugang hat
* Will man alle Pakete, aller erreichbaren WLAN Netze empfangen, ist dazu der [[Monitor Mode]] nötig


Das Gegenteil zu diesem Modus stellt der ''non-promiscuous mode'' dar. In diesem Modus verarbeitet das Gerät nur die an sich selbst gerichteten Pakete, was zum Beispiel in [[Ethernet]]netzen über das Auswerten der [[MAC-Adresse]] geschieht, zuzüglich [[Broadcast]]- und [[Multicast]]-Pakete.
; Non-Promiscuous Mode
In diesem Modus verarbeitet das Gerät nur die an sich selbst gerichteten Pakete, was zum Beispiel in [[Ethernet]]netzen über das Auswerten der [[MAC-Adresse]] geschieht, zuzüglich [[Broadcast]]- und [[Multicast]]-Pakete


=== Geswitchte Netzwerke ===
; Netzwerkschnittstellen-Controller-Modus, der für andere bestimmte Nachrichten abhört
In Netzwerken, die durch ''[[Switch (Netzwerktechnik)|Switches]]'' (im Gegensatz zu ''[[Hub_(Netzwerktechnik)|Hubs]]'') gebildet werden, ist der Promiscuous-Modus zur Spionage nutzlos, da normalerweise an jedes Gerät nur die dafür bestimmten Pakete geleitet werden. VMs sind hiervon nicht betroffen, da diese aktiv mit ihrer Adresse im Netzwerk kommunizieren und daher vom Switch als eigenständiges Gerät erkannt werden.


== Installation ==
; In [[Computernetzwerke|Computernetzwerke]] ist der '''promiscuous mode''' ein Modus für einen kabelgebundenen [[Network Interface Controller]] (NIC) oder [[Wireless Network Interface Controller]] (WNIC), der den Controller dazu veranlasst, den gesamten empfangenen Datenverkehr an die [[Central Processing Unit]] (CPU) weiterzuleiten, anstatt nur die Frames weiterzuleiten, für die der Controller speziell programmiert wurde. 
== Anwendungen ==
* Dieser Modus wird normalerweise für [[Packet Sniffing]] verwendet, das auf einem Router oder einem Computer stattfindet, der mit einem kabelgebundenen Netzwerk verbunden ist oder Teil eines [[Wireless LAN]] ist.
=== Fehlerbehebung ===
* Schnittstellen werden von [[Netzwerk-Bridge|Software-Bridges]], die oft mit [[Hardware-Virtualisierung]] verwendet werden, in den Promiscuous Mode versetzt.
== Syntax ==
=== Optionen ===
=== Parameter ===
=== Umgebungsvariablen ===
=== Exit-Status ===
== Konfiguration ==
=== Dateien ===
== Sicherheit ==


== Siehe auch ==
; In [[IEEE 802]]-Netzwerken wie [[Ethernet]] oder [[IEEE 802.11]] enthält jeder Frame eine Ziel-[[MAC-Adresse]]
* [[Monitor Mode]]
* Im Non-Promiscuous-Modus verwirft eine NIC, wenn sie einen Frame empfängt, diesen, es sei denn, der Frame ist an die MAC-Adresse dieser NIC adressiert oder es handelt sich um einen Frame mit [[Broadcasting (Networking)|Broadcast]]- oder [[Multicast-Adresse]].
* [[Sniffer]]
* Im Promiscuous-Modus hingegen lässt die Netzwerkkarte alle Frames durch, so dass der Computer Frames lesen kann, die für andere Rechner oder Netzwerkgeräte bestimmt sind.
* [[Packet analyzer]]
* [[MAC spoofing]]
* [[Monitor mode]]


=== Dokumentation ===
; Der Promiscuous Mode wird häufig zur Diagnose von Netzwerkverbindungsproblemen verwendet
==== RFC ====
* Es gibt Programme, die diese Funktion nutzen, um dem Benutzer alle Daten zu zeigen, die über das Netz übertragen werden.
==== Man-Pages ====
* Einige Protokolle wie [[File Transfer Protocol|FTP]] und [[Telnet]] übertragen Daten und Kennwörter unverschlüsselt im Klartext, und Netzwerkscanner können diese Daten sehen.
==== Info-Pages ====
* Daher sollten Computerbenutzer unsichere Protokolle wie Telnet meiden und sicherere Protokolle wie [[Secure Shell|SSH]] verwenden.
=== Links ===
==== Einzelnachweise ====
<references />
==== Projekt ====
==== Weblinks ====


== Testfragen ==
; Geswitchte Netzwerke
<div class="toccolours mw-collapsible mw-collapsed">
* In Netzwerken, die durch ''[[Switch (Netzwerktechnik)|Switches]]'' (im Gegensatz zu ''[[Hub_(Netzwerktechnik)|Hubs]]'') gebildet werden, ist der Promiscuous-Modus zur Spionage nutzlos, da normalerweise an jedes Gerät nur die dafür bestimmten Pakete geleitet werden.
''Testfrage 1''
* VMs sind hiervon nicht betroffen, da diese aktiv mit ihrer Adresse im Netzwerk kommunizieren und daher vom Switch als eigenständiges Gerät erkannt werden.
<div class="mw-collapsible-content">'''Antwort1'''</div>
</div>
<div class="toccolours mw-collapsible mw-collapsed">
''Testfrage 2''
<div class="mw-collapsible-content">'''Antwort2'''</div>
</div>
<div class="toccolours mw-collapsible mw-collapsed">
''Testfrage 3''
<div class="mw-collapsible-content">'''Antwort3'''</div>
</div>
<div class="toccolours mw-collapsible mw-collapsed">
''Testfrage 4''
<div class="mw-collapsible-content">'''Antwort4'''</div>
</div>
<div class="toccolours mw-collapsible mw-collapsed">
''Testfrage 5''
<div class="mw-collapsible-content">'''Antwort5'''</div>
</div>


= Wikipedia EN =
== Anwendungen ==
{{short description|Network interface controller mode that eavesdrops on messages intended for others}}
; Viele [[Betriebssysteme]]e erfordern [[Superuser]]-Rechte, um den Promiscuous Mode zu aktivieren
{{refimprove|date=August 2015}}
* Ein Nicht-Routing-[[Knoten (Netzwerk) |Knoten]] im Promiscuous-Modus kann im Allgemeinen nur den Verkehr zu und von anderen Knoten innerhalb derselben [[Broadcast-Domäne]] (für Ethernet und IEEE 802.11) oder desselben Rings (für [[Token Ring]]) überwachenComputer, die an denselben [[Ethernet-Hub]] angeschlossen sind, erfüllen diese Anforderung, weshalb [[Netzwerk-Switch]]e zur Bekämpfung der böswilligen Nutzung des Promiscuous Mode eingesetzt werden.  
In [[computer network|computer networking]], '''promiscuous mode''' is a mode for a wired [[network interface controller]] (NIC) or [[wireless network interface controller]] (WNIC) that causes the controller to pass all traffic it receives to the [[central processing unit]] (CPU) rather than passing only the frames that the controller is specifically programmed to receiveThis mode is normally used for [[packet sniffing]] that takes place on a router or on a computer connected to a wired network or one being part of a [[wireless LAN]]. Interfaces are placed into promiscuous mode by [[Network bridge|software bridges]] often used with [[hardware virtualization]].
* Ein [[Router (Computer)|Router]] kann den gesamten Verkehr überwachen, den er weiterleitet.


In [[IEEE 802]] networks such as [[Ethernet]] or [[IEEE 802.11]], each frame includes a destination [[MAC address]].  In non-promiscuous mode, when a NIC receives a frame, it drops it unless the frame is addressed to that NIC's MAC address or is a [[Broadcasting (networking)|broadcast]] or [[multicast address]]ed frame.  In promiscuous mode, however, the NIC allows all frames through, thus allowing the computer to read frames intended for other machines or network devices.
; Packet Analyzer
 
Many [[operating system]]s require [[superuser]] privileges to enable promiscuous mode. A non-routing [[node (networking)|node]] in promiscuous mode can generally only monitor traffic to and from other nodes within the same [[broadcast domain]] (for Ethernet and IEEE 802.11) or ring (for [[Token Ring]]).  Computers attached to the same [[Ethernet hub]] satisfy this requirement, which is why [[network switch]]es are used to combat malicious use of promiscuous mode. A [[router (computing)|router]] may monitor all traffic that it routes.
 
Promiscuous mode is often used to diagnose network connectivity issues. There are programs that make use of this feature to show the user all the data being transferred over the network. Some protocols like [[File Transfer Protocol|FTP]] and [[Telnet]] transfer data and passwords in clear text, without encryption, and network scanners can see this data. Therefore, computer users are encouraged to stay away from insecure protocols like telnet and use more secure ones such as [[Secure Shell|SSH]].
 
==Detection==
As promiscuous mode can be used in a malicious way to capture private [[data in transit]] on a network, [[computer security]] professionals might be interested in detecting network devices that are in promiscuous mode. In promiscuous mode, some software might send responses to frames even though they were addressed to another machine. However, experienced sniffers can prevent this (e.g., using carefully designed firewall settings). An example is sending a ping (ICMP echo request) with the wrong MAC address but the right IP address. If an adapter is operating in normal mode, it will drop this frame, and the IP stack never sees or responds to it. If the adapter is in promiscuous mode, the frame will be passed on, and the IP stack on the machine (to which a MAC address has no meaning) will respond as it would to any other ping.<ref>{{citation |url=http://www.just.edu.jo/~tawalbeh/nyit/incs745/presentations/Sniffers.pdf |title=Sniffers: Basics and Detection |access-date=2017-10-13}}</ref> The sniffer can prevent this by configuring a firewall to block ICMP traffic.
 
==Some applications that use promiscuous mode==
The following applications and applications classes use promiscuous mode.
{{div col|colwidth=20em}}
;Packet Analyzer
* [[NetScout]] Sniffer
* [[NetScout]] Sniffer
* [[Wireshark]] (formerly ''Ethereal'')
* [[Wireshark]] (formerly ''Ethereal'')
Zeile 89: Zeile 50:
* [[ntop]]
* [[ntop]]
* [[Firesheep]]
* [[Firesheep]]
;Virtual machine
 
; Virtual machine
* [[VMware]]'s VMnet [[Bridging (networking)|bridging]]
* [[VMware]]'s VMnet [[Bridging (networking)|bridging]]
* [[VirtualBox]] bridging mode
* [[VirtualBox]] bridging mode
;Containers
 
; Containers
* [[Docker (software)|Docker]] with optional Macvlan driver on Linux
* [[Docker (software)|Docker]] with optional Macvlan driver on Linux
;[[Cryptanalysis]]
 
; [[Cryptanalysis]]
* [[Aircrack-ng]]
* [[Aircrack-ng]]
* [[AirSnort]]
* [[AirSnort]]
* [[Cain and Abel (software)|Cain and Abel]]
* [[Cain and Abel (software)|Cain and Abel]]
;Network monitoring
 
; Network monitoring
* [[KisMAC]] (used for [[Wireless LAN|WLAN]])
* [[KisMAC]] (used for [[Wireless LAN|WLAN]])
* [[Kismet (software)|Kismet]]
* [[Kismet (software)|Kismet]]
Zeile 104: Zeile 69:
* [[Snort (software)|Snort]]
* [[Snort (software)|Snort]]
* [[CommView]]
* [[CommView]]
;Gaming
* [[XLink Kai]]
{{div col end}}


[[Category:Network analyzers]]
== Konfiguration ==
=== Promiscuous Mode ===
für eine Netzwerkkarte
; Der Promiscuous-Modus oder Promisc-Modus ist eine Funktion, bei der die Ethernet-Karte den gesamten empfangenen Datenverkehr an den Kernel weiterleitet
* Er wird normalerweise von einem Paketschnüffelprogramm wie Wireshark und tcpdump verwendet
* Wenn ein solches Programm absichtlich läuft oder das Netzwerk für die Hardware-Virtualisierung überbrückt wird, kann die Meldung "promiscuous mode" einfach ignoriert werden
* Andernfalls ist aufgrund eines Sicherheitsproblems eine gründliche Untersuchung des Systems erforderlich
 
; Wenn sich eine Netzwerkkarte im Promiscuous-Modus befindet, kann sie den gesamten empfangenen Datenverkehr lesen und nicht nur die an sie adressierten Pakete
* Nehmen wir an, für eth1 wird der Promiscuous-Modus grundsätzlich dazu verwendet, den gesamten Verkehr, den 'eth1' empfängt, weiterzuleiten und nicht nur die an ihn adressierten Frames
* Eine Netzwerkkarte befindet sich normalerweise im promiscuous mode, wenn: # Wenn sie manuell mit dem Befehl ifconfig in diesem Modus konfiguriert wurde
# Wenn ein Netzwerküberwachungsprogramm wie tcpdump usw. verwendet wird
# In Bridge-Netzwerken muss die Netzwerkkarte meist im Promiscuous-Modus arbeiten
 
; Promiscuous-Modus auf einer physischen Netzwerkkarte (NIC) aktivieren
; In einem Netzwerk ermöglicht der Promiscuous-Modus einem Netzwerkgerät, jedes Netzwerkpaket, das ankommt, vollständig abzufangen und zu lesen.
* Diese Betriebsart wird manchmal einem Netzwerk-Snoop-Server zugewiesen, der alle Pakete abfängt und zur Analyse speichert (z.&nbsp;B.&nbsp; bei der Überwachung der Netzwerknutzung).
 
=== Promiscuous-Modus aktivieren ===
; Netzwerkkarte manuell in den Promiscuous-Modus versetzen
in CentOS/RHEL
; Um eine Schnittstelle in den Promiscuous-Modus zu versetzen, können Sie einen dieser Befehle verwenden, wobei der 'ip'-Befehl die gängigste Methode ist.
# ifconfig [interface] promisc
# ip link set [interface] promisc on
 
;To identify if the NIC has been set in Promiscuous Mode, use the ifconfig command.
# ifconfig eth1
eth1      Link encap:Ethernet  HWaddr 08:00:27:CD:20:16
          inet addr:192.168.200.56  Bcast:192.168.255.255  Mask:255.255.0.0
          inet6 addr: 2606:b400:c10:6044:a00:27ff:fecd:2016/64 Scope:Global
          inet6 addr: fe80::a00:27ff:fecd:2016/64 Scope:Link
          UP BROADCAST RUNNING <span style="color:#ff0000;">PROMISC</span> MULTICAST  MTU:1500  Metric:1
          RX packets:22685771 errors:0 dropped:83424 overruns:0 frame:0
          TX packets:13461 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:1604651517 (1.4 GiB)  TX bytes:1475694 (1.4 MiB)
 
; Alternatively, use the “ip” command and grep for the promisc flag
# ip a show eth1 | grep -i promisc
3: eth1: [BROADCAST,MULTICAST,<span style="color:#ff0000;">PROMISC</span>,UP,LOWER_UP] mtu 1500 qdisc pfifo_fast state UP qlen 1000
 
=== Dauerhafte Einstellungen ===
; So setzen Sie die Schnittstelle dauerhaft in den Promiscuous-Modus
# Bearbeiten Sie die Datei ifcfg-ethX
# Fügen Sie "PROMISC=yes" an das Ende der Optionen an
 
# vim /etc/sysconfig/network-scripts/ifcfg-eth1
PROMISC=yes  <==
 
[https://www.thegeekdiary.com/how-to-configure-interface-in-promiscuous-mode-in-centos-rhel/ https://www.thegeekdiary.com/how-to-configure-interface-in-promiscuous-mode-in-centos-rhel/]
 
=== Aktivieren ===
; Führen Sie den Befehl ifconfig aus und beachten Sie das Ergebnis
# ifconfig eth0 promisc
 
; Führen Sie den Befehl ifconfig aus und beachten Sie das Ergebnis
eth0 Link encap:Ethernet HWaddr 00:1D:09:08:94:8A
inet6 addr: fe80::21d:9ff:fe08:948a/64 Scope:Link
UP BROADCAST RUNNING PROMISC MULTICAST MTU:1500 Metric:1
RX packets:23724 errors:0 dropped:0 overruns:0 frame:0
TX packets:7517 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:2169478 (2.0 MiB) TX bytes:5423377 (5.1 MiB)
Interrupt:17
 
=== Deaktivieren ===
; Um den Promiscuous-Modus auf der physischen NIC zu deaktivieren, führen Sie den folgenden Befehl in der Textkonsole aus
# ifconfig eth0 –promisc
 
Führen Sie den Befehl ifconfig erneut aus und stellen Sie fest, dass der Promiscuous-Modus nun deaktiviert ist.
 
=== Promiscuous-Modus konfigurieren ===
für die Netzwerkschnittstelle
# ip link set eth1 promisc on
 
The flag will be updated to BMPRU
 
; Flag details are as follows:
B flag is for broadcast
M flag is for multicast
P flag is for promisc mode
R is for running
U is for up
 
; configuration
* VMware always enables promiscuous mode for virtual interface
 
It is not enough to enable promiscuous mode in the interface file
* add this line
ifconfig eth1 up
ifconfig eth1 promisc
 
in the /etc/rc.local file because when i restart the network service, eth1 is set down
* So adding this lines would tell the os to not shutdown eth1
 
== Sicherheit ==
=== Erkennung ===
; Promiscuous Mode kann in böswilliger Weise verwendet werden
* private [[Daten während der Übertragung]] in einem Netzwerk abzufangen
 
; [[Computersicherheit]]s-Experten möglicherweise daran interessiert, Netzwerkgeräte zu erkennen
* die sich im Promiscuous Mode befinden
 
; Im Promiscuous Mode kann manche Software Antworten auf Frames senden, obwohl sie an einen anderen Rechner adressiert waren
* Erfahrene Sniffer können dies jedoch verhindern (z.&nbsp;B.&nbsp; durch sorgfältig ausgelegte Firewall-Einstellungen)
* Ein Beispiel ist das Senden eines Pings (ICMP Echo Request) mit der falschen MAC-Adresse, aber der richtigen IP-Adresse
* Wenn ein Adapter im normalen Modus arbeitet, verwirft er diesen Frame, und der IP-Stack sieht ihn nicht und antwortet nicht darauf
* Befindet sich der Adapter im Promiscuous-Modus, wird der Frame weitergeleitet, und der IP-Stack auf dem Rechner (für den eine MAC-Adresse keine Bedeutung hat) reagiert wie auf jeden anderen Ping
* Der Sniffer kann dies verhindern, indem er eine Firewall so konfiguriert, dass sie den ICMP-Verkehr blockiert
 
== Siehe auch ==
* [[Monitor Mode]]
* [[Sniffer]]
* [[Packet analyzer]]
* [[MAC spoofing]]
* [[Monitor mode]]
 
=== Dokumentation ===
==== RFC ====
==== Man-Page ====
==== Info-Pages ====
=== Links ===
==== Projekt ====
==== Weblinks ====
* https://de.wikipedia.org/wiki/Promiskuitiver_Modus
* https://en.wikipedia.org/wiki/Promiscuous_mode
* [http://searchsecurity.techtarget.com/definition/promiscuous-mode SearchSecurity.com definition of promiscuous mode]
 
[[Kategorie:Ethernet]]
[[Kategorie:Ethernet]]
[[Kategorie:WLAN]]
[[Kategorie:WLAN]]
[[Kategorie:Sniffing]]

Aktuelle Version vom 6. November 2024, 12:39 Uhr

Promiscuous Mode -

  • promiskuitive Modus oder Promiscuous-Modus
  • bezeichnet einen bestimmten Empfangsmodus für netzwerktechnische Geräte

Beschreibung

Aus dem englischen Vorlage:Lang entlehnt, etwa für „freizügiger Modus“

In diesem Modus liest das Gerät den gesamten ankommenden Datenverkehr an die in diesen Modus geschaltete Netzwerkschnittstelle mit (anstatt nur den für das Gerät bestimmten Datenverkehr) und gibt die Daten zur Verarbeitung an das Betriebssystem weiter.
  • Dies kann beispielsweise zum Betrieb virtueller Maschinen notwendig sein, die hierdurch eine eigene Netzwerkschnittstelle erhalten
  • Geräte, die diesen Modus benutzen, können Kombinationen aus Switch und Router, Netzwerktester oder auch normale Computer mit Anschluss an ein Netzwerk sein
Bei Wireless LANs (WLANs) werden im promiscuous mode auch Pakete weitergeleitet, die nicht an einen selbst gerichtet sind
  • aber es werden nur die Pakete des Netzwerks (Accesspoints) weitergeleitet, mit dem der Client gerade verbunden ist.
  • Da das Herstellen einer Verbindung mit dem Netzwerk normalerweise mit einer Authentifizierung einhergeht, ist der promiscuous mode nicht geeignet, um Pakete eines Netzwerks aufzufangen, zu dem man keinen direkten Zugang hat
  • Will man alle Pakete, aller erreichbaren WLAN Netze empfangen, ist dazu der Monitor Mode nötig
Non-Promiscuous Mode

In diesem Modus verarbeitet das Gerät nur die an sich selbst gerichteten Pakete, was zum Beispiel in Ethernetnetzen über das Auswerten der MAC-Adresse geschieht, zuzüglich Broadcast- und Multicast-Pakete

Netzwerkschnittstellen-Controller-Modus, der für andere bestimmte Nachrichten abhört
In Computernetzwerke ist der promiscuous mode ein Modus für einen kabelgebundenen Network Interface Controller (NIC) oder Wireless Network Interface Controller (WNIC), der den Controller dazu veranlasst, den gesamten empfangenen Datenverkehr an die Central Processing Unit (CPU) weiterzuleiten, anstatt nur die Frames weiterzuleiten, für die der Controller speziell programmiert wurde.
  • Dieser Modus wird normalerweise für Packet Sniffing verwendet, das auf einem Router oder einem Computer stattfindet, der mit einem kabelgebundenen Netzwerk verbunden ist oder Teil eines Wireless LAN ist.
  • Schnittstellen werden von Software-Bridges, die oft mit Hardware-Virtualisierung verwendet werden, in den Promiscuous Mode versetzt.
In IEEE 802-Netzwerken wie Ethernet oder IEEE 802.11 enthält jeder Frame eine Ziel-MAC-Adresse
  • Im Non-Promiscuous-Modus verwirft eine NIC, wenn sie einen Frame empfängt, diesen, es sei denn, der Frame ist an die MAC-Adresse dieser NIC adressiert oder es handelt sich um einen Frame mit Broadcast- oder Multicast-Adresse.
  • Im Promiscuous-Modus hingegen lässt die Netzwerkkarte alle Frames durch, so dass der Computer Frames lesen kann, die für andere Rechner oder Netzwerkgeräte bestimmt sind.
Der Promiscuous Mode wird häufig zur Diagnose von Netzwerkverbindungsproblemen verwendet
  • Es gibt Programme, die diese Funktion nutzen, um dem Benutzer alle Daten zu zeigen, die über das Netz übertragen werden.
  • Einige Protokolle wie FTP und Telnet übertragen Daten und Kennwörter unverschlüsselt im Klartext, und Netzwerkscanner können diese Daten sehen.
  • Daher sollten Computerbenutzer unsichere Protokolle wie Telnet meiden und sicherere Protokolle wie SSH verwenden.
Geswitchte Netzwerke
  • In Netzwerken, die durch Switches (im Gegensatz zu Hubs) gebildet werden, ist der Promiscuous-Modus zur Spionage nutzlos, da normalerweise an jedes Gerät nur die dafür bestimmten Pakete geleitet werden.
  • VMs sind hiervon nicht betroffen, da diese aktiv mit ihrer Adresse im Netzwerk kommunizieren und daher vom Switch als eigenständiges Gerät erkannt werden.

Anwendungen

Viele Betriebssystemee erfordern Superuser-Rechte, um den Promiscuous Mode zu aktivieren
  • Ein Nicht-Routing-Knoten im Promiscuous-Modus kann im Allgemeinen nur den Verkehr zu und von anderen Knoten innerhalb derselben Broadcast-Domäne (für Ethernet und IEEE 802.11) oder desselben Rings (für Token Ring) überwachen. Computer, die an denselben Ethernet-Hub angeschlossen sind, erfüllen diese Anforderung, weshalb Netzwerk-Switche zur Bekämpfung der böswilligen Nutzung des Promiscuous Mode eingesetzt werden.
  • Ein Router kann den gesamten Verkehr überwachen, den er weiterleitet.
Packet Analyzer
Virtual machine
Containers
  • Docker with optional Macvlan driver on Linux
Cryptanalysis
Network monitoring

Konfiguration

Promiscuous Mode

für eine Netzwerkkarte

Der Promiscuous-Modus oder Promisc-Modus ist eine Funktion, bei der die Ethernet-Karte den gesamten empfangenen Datenverkehr an den Kernel weiterleitet
  • Er wird normalerweise von einem Paketschnüffelprogramm wie Wireshark und tcpdump verwendet
  • Wenn ein solches Programm absichtlich läuft oder das Netzwerk für die Hardware-Virtualisierung überbrückt wird, kann die Meldung "promiscuous mode" einfach ignoriert werden
  • Andernfalls ist aufgrund eines Sicherheitsproblems eine gründliche Untersuchung des Systems erforderlich
Wenn sich eine Netzwerkkarte im Promiscuous-Modus befindet, kann sie den gesamten empfangenen Datenverkehr lesen und nicht nur die an sie adressierten Pakete
  • Nehmen wir an, für eth1 wird der Promiscuous-Modus grundsätzlich dazu verwendet, den gesamten Verkehr, den 'eth1' empfängt, weiterzuleiten und nicht nur die an ihn adressierten Frames
  • Eine Netzwerkkarte befindet sich normalerweise im promiscuous mode, wenn: # Wenn sie manuell mit dem Befehl ifconfig in diesem Modus konfiguriert wurde
  1. Wenn ein Netzwerküberwachungsprogramm wie tcpdump usw. verwendet wird
  2. In Bridge-Netzwerken muss die Netzwerkkarte meist im Promiscuous-Modus arbeiten
Promiscuous-Modus auf einer physischen Netzwerkkarte (NIC) aktivieren
In einem Netzwerk ermöglicht der Promiscuous-Modus einem Netzwerkgerät, jedes Netzwerkpaket, das ankommt, vollständig abzufangen und zu lesen.
  • Diese Betriebsart wird manchmal einem Netzwerk-Snoop-Server zugewiesen, der alle Pakete abfängt und zur Analyse speichert (z. B.  bei der Überwachung der Netzwerknutzung).

Promiscuous-Modus aktivieren

Netzwerkkarte manuell in den Promiscuous-Modus versetzen

in CentOS/RHEL

Um eine Schnittstelle in den Promiscuous-Modus zu versetzen, können Sie einen dieser Befehle verwenden, wobei der 'ip'-Befehl die gängigste Methode ist.
# ifconfig [interface] promisc
# ip link set [interface] promisc on
To identify if the NIC has been set in Promiscuous Mode, use the ifconfig command.
# ifconfig eth1
eth1      Link encap:Ethernet  HWaddr 08:00:27:CD:20:16
          inet addr:192.168.200.56  Bcast:192.168.255.255  Mask:255.255.0.0
          inet6 addr: 2606:b400:c10:6044:a00:27ff:fecd:2016/64 Scope:Global
          inet6 addr: fe80::a00:27ff:fecd:2016/64 Scope:Link
          UP BROADCAST RUNNING PROMISC MULTICAST  MTU:1500  Metric:1
          RX packets:22685771 errors:0 dropped:83424 overruns:0 frame:0
          TX packets:13461 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:1604651517 (1.4 GiB)  TX bytes:1475694 (1.4 MiB)
Alternatively, use the “ip” command and grep for the promisc flag
# ip a show eth1 | grep -i promisc
3: eth1: [BROADCAST,MULTICAST,PROMISC,UP,LOWER_UP] mtu 1500 qdisc pfifo_fast state UP qlen 1000

Dauerhafte Einstellungen

So setzen Sie die Schnittstelle dauerhaft in den Promiscuous-Modus
  1. Bearbeiten Sie die Datei ifcfg-ethX
  2. Fügen Sie "PROMISC=yes" an das Ende der Optionen an
# vim /etc/sysconfig/network-scripts/ifcfg-eth1
PROMISC=yes   <== 

https://www.thegeekdiary.com/how-to-configure-interface-in-promiscuous-mode-in-centos-rhel/

Aktivieren

Führen Sie den Befehl ifconfig aus und beachten Sie das Ergebnis
# ifconfig eth0 promisc
Führen Sie den Befehl ifconfig aus und beachten Sie das Ergebnis
eth0 Link encap:Ethernet HWaddr 00:1D:09:08:94:8A
inet6 addr: fe80::21d:9ff:fe08:948a/64 Scope:Link
UP BROADCAST RUNNING PROMISC MULTICAST MTU:1500 Metric:1
RX packets:23724 errors:0 dropped:0 overruns:0 frame:0
TX packets:7517 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:2169478 (2.0 MiB) TX bytes:5423377 (5.1 MiB)
Interrupt:17

Deaktivieren

Um den Promiscuous-Modus auf der physischen NIC zu deaktivieren, führen Sie den folgenden Befehl in der Textkonsole aus
# ifconfig eth0 –promisc

Führen Sie den Befehl ifconfig erneut aus und stellen Sie fest, dass der Promiscuous-Modus nun deaktiviert ist.

Promiscuous-Modus konfigurieren

für die Netzwerkschnittstelle

# ip link set eth1 promisc on

The flag will be updated to BMPRU

Flag details are as follows
B flag is for broadcast
M flag is for multicast
P flag is for promisc mode
R is for running
U is for up
configuration
  • VMware always enables promiscuous mode for virtual interface

It is not enough to enable promiscuous mode in the interface file

  • add this line
ifconfig eth1 up
ifconfig eth1 promisc

in the /etc/rc.local file because when i restart the network service, eth1 is set down

  • So adding this lines would tell the os to not shutdown eth1

Sicherheit

Erkennung

Promiscuous Mode kann in böswilliger Weise verwendet werden
Computersicherheits-Experten möglicherweise daran interessiert, Netzwerkgeräte zu erkennen
  • die sich im Promiscuous Mode befinden
Im Promiscuous Mode kann manche Software Antworten auf Frames senden, obwohl sie an einen anderen Rechner adressiert waren
  • Erfahrene Sniffer können dies jedoch verhindern (z. B.  durch sorgfältig ausgelegte Firewall-Einstellungen)
  • Ein Beispiel ist das Senden eines Pings (ICMP Echo Request) mit der falschen MAC-Adresse, aber der richtigen IP-Adresse
  • Wenn ein Adapter im normalen Modus arbeitet, verwirft er diesen Frame, und der IP-Stack sieht ihn nicht und antwortet nicht darauf
  • Befindet sich der Adapter im Promiscuous-Modus, wird der Frame weitergeleitet, und der IP-Stack auf dem Rechner (für den eine MAC-Adresse keine Bedeutung hat) reagiert wie auf jeden anderen Ping
  • Der Sniffer kann dies verhindern, indem er eine Firewall so konfiguriert, dass sie den ICMP-Verkehr blockiert

Siehe auch

Dokumentation

RFC

Man-Page

Info-Pages

Links

Projekt

Weblinks