Válogatás nélküli üzemmód

A Wikipédiából, a szabad enciklopédiából

A válogatás nélküli üzemmód vagy promiscuous mode számítógépek hálózati kártyájának olyan beállítását jelenti, amikor minden bejövő forgalmat továbbít a processzor felé, nem csak azokat, amiket neki címeztek. Célja általában a csomaglehallgatás (packet sniffing).

A hálózati keretek tartalmaznak egy hardvercímet (MAC-cím). Amikor a hálózati kártyába egy keret beérkezik, általában eldobja, ha nem neki van címezve. A válogatás nélküli üzemmódban futó kártya azonban beenged minden hálózati keretet, így lehetővé téve, hogy a számítógép beolvashassa a más számítógépek vagy hálózati eszközök számára elküldött kereteket.

Sok operációs rendszerben rendszergazdai jogosultságra van szükség a válogatás nélküli üzemmód bekapcsolásához. Egy útválasztást nem végző hálózati csomópont válogatás nélküli üzemmódban általában csak azoknak a csomópontoknak a forgalmát képes lehallgatni, amikkel egy ütközési tartományban van (Ethernet és WLAN esetében) vagy ugyanabban a gyűrűben (Token ringnél vagy FDDI-nél). Az ugyanarra a hubra csatlakozó számítógépek megfelelnek ennek a követelménynek, a hálózati kapcsolók alkalmazása azonban meggátolja a válogatás nélküli üzemmód rosszindulatú használatát. Egy útválasztó képes minden, általa továbbított forgalom monitorozására.

A válogatás nélküli üzemmódot gyakran használják hálózati problémák diagnosztizálására. Léteznek programok (pl. NetMon), melyek vizuálisan megmutatják a felhasználónak a hálózaton átvitt adatcsomagokat. Egyes protokollok, mint pl. az FTP vagy a telnet sima szövegként (titkosítás nélkül) viszik át az adatokat és a jelszavakat a hálózaton, amit a network scannerek meg tudnak mutatni. Ezért is ajánlott a nem biztonságos protokollok használatának visszaszorítása, és telnet helyett pl. SSH használata.

A promiscuous mode-ot transzparens hálózati hidakban is alkalmazzák, hogy minden hálózati forgalmat képes legyen elnyelni, aminek át kell jutnia a hídon, és a másik oldalon újra kibocsátani.

Észlelés[szerkesztés | forrásszöveg szerkesztése]

Mivel a válogatás nélküli üzemmódot rosszindulatú céllal is lehet használni a hálózaton való hallgatózásra, fontos lehet ismerni a módszereket a promiscuous mode-ban lévő eszközök felderítésére. Lényegében két módszer ismert erre:

  1. Ha egy hálózati eszköz válogatás nélküli üzemmódban fut, a kernelnek minden hálózati forgalmat fel kell dolgoznia, tehát a CPU-terhelés megnő. Így a hálózati válaszidő megnő, ami detektálható.
  2. Válogatás nélküli üzemmódban egyes szoftverek választ küldhetnek olyan hálózati keretekre, amik más gépnek lettek címezve. Ha ilyen válaszüzenetek láthatók a hálózaton, biztos, hogy a küldő gép válogatás nélküli üzemmódban van. Gyakorlott lehallgatók ezt persze kiküszöbölhetik (pl. jól megválasztott tűzfalbeállítások használatával). Egy példa lehet ping küldése (ICMP echo request) rossz MAC-címmel de helyes IP-címmel. Ha a tűzfal blokkolja az ICMP-forgalmat, ez megakadályozható.

A válogatás nélküli üzemmódot gyakran rosszindulatú alkalmazások használják, először rendszergazdai jogokat szerezve, majd ARP-hamisítást és IP-hamisítást elkövetve. Az ARP-hamisításhoz a hálózati kártyának promiscuous mode-ban kell lennie. Így az indokolatlanul válogatás nélküli üzemmódban lévő gépek szűrése fontos lépés az ARP-hamisítás felderítésére.

Válogatás nélküli üzemmódot használó alkalmazások[szerkesztés | forrásszöveg szerkesztése]

Források[szerkesztés | forrásszöveg szerkesztése]

  • Ez a szócikk részben vagy egészben a Promiscuous mode című angol Wikipédia-szócikk ezen változatának fordításán alapul. Az eredeti cikk szerkesztőit annak laptörténete sorolja fel.