Promiscuous-Modus
Was ist Promiscuous-Modus?
Promiscuous-ModusNetzwerkkarten-Modus, in dem die NIC alle auf dem Medium gesehenen Frames an das Betriebssystem weitergibt und so passives Sniffen eines geteilten oder gespiegelten Segments erlaubt.
Der Promiscuous-Modus ist ein konfigurierbarer Zustand der Netzwerkkarte, der den üblichen MAC-Adressfilter deaktiviert, sodass die NIC jedes gesehene Ethernet-Frame – unabhängig vom Ziel – an das Betriebssystem reicht. Sniffer und IDS wie Wireshark, tcpdump, Snort und Zeek benötigen ihn, um Traffic anderer Hosts zu beobachten. An Hub- oder gespiegelten (SPAN-)Segmenten reicht der Modus aus; in modernen Switched Networks ist er mit ARP-Spoofing, MAC-Flooding (CAM-Overflow), Port-Mirroring oder einem Netzwerk-Tap zu kombinieren, um Daten anderer Hosts zu sehen. An sich nicht bösartig, aber Voraussetzung für passive Aufklärung, Credential-Sniffing und viele MITM-Angriffe. Abwehr: unerwartete Promiscuous-NICs aufspüren (ARP-Anomalie-Tools, EDR), 802.1X, Port-Security, Verschlüsselung sensitiver Daten.
● Beispiele
- 01
tcpdump -i eth0 im Promiscuous-Modus, um SPAN-Traffic während einer Incident-Response zu erfassen.
- 02
Angreifer aktiviert Promiscuous-Modus nach ARP-Spoofing des Gateways, um Klartext-Credentials abzugreifen.
● Häufige Fragen
Was ist Promiscuous-Modus?
Netzwerkkarten-Modus, in dem die NIC alle auf dem Medium gesehenen Frames an das Betriebssystem weitergibt und so passives Sniffen eines geteilten oder gespiegelten Segments erlaubt. Es gehört zur Kategorie Angriffe und Bedrohungen der Cybersicherheit.
Was bedeutet Promiscuous-Modus?
Netzwerkkarten-Modus, in dem die NIC alle auf dem Medium gesehenen Frames an das Betriebssystem weitergibt und so passives Sniffen eines geteilten oder gespiegelten Segments erlaubt.
Wie funktioniert Promiscuous-Modus?
Der Promiscuous-Modus ist ein konfigurierbarer Zustand der Netzwerkkarte, der den üblichen MAC-Adressfilter deaktiviert, sodass die NIC jedes gesehene Ethernet-Frame – unabhängig vom Ziel – an das Betriebssystem reicht. Sniffer und IDS wie Wireshark, tcpdump, Snort und Zeek benötigen ihn, um Traffic anderer Hosts zu beobachten. An Hub- oder gespiegelten (SPAN-)Segmenten reicht der Modus aus; in modernen Switched Networks ist er mit ARP-Spoofing, MAC-Flooding (CAM-Overflow), Port-Mirroring oder einem Netzwerk-Tap zu kombinieren, um Daten anderer Hosts zu sehen. An sich nicht bösartig, aber Voraussetzung für passive Aufklärung, Credential-Sniffing und viele MITM-Angriffe. Abwehr: unerwartete Promiscuous-NICs aufspüren (ARP-Anomalie-Tools, EDR), 802.1X, Port-Security, Verschlüsselung sensitiver Daten.
Wie schützt man sich gegen Promiscuous-Modus?
Schutzmaßnahmen gegen Promiscuous-Modus kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Promiscuous-Modus?
Übliche alternative Bezeichnungen: Promisc-Modus, Sniffing-Modus.
● Verwandte Begriffe
- attacks№ 062
ARP-Spoofing
Angriff im lokalen Netz, der gefälschte ARP-Nachrichten verschickt, um die MAC-Adresse des Angreifers an die IP eines anderen Hosts zu binden und Datenverkehr umzuleiten.
- attacks№ 312
DHCP-Spoofing
Angriff, bei dem ein Angreifer DHCP-Anfragen mit gefälschten Angeboten beantwortet, um ein bösartiges Gateway, DNS oder andere Optionen an Opferclients zu verteilen.
- attacks№ 1135
TCP-Reset-Injection
Angriff, der gefälschte TCP-RST-Segmente einer bestehenden Verbindung einspeist, sodass die Endpunkte sie schlagartig schließen und die Session bricht oder übernommen wird.