Mode promiscuité
Qu'est-ce que Mode promiscuité ?
Mode promiscuitéMode d'une carte réseau dans lequel la NIC remet au système d'exploitation toutes les trames vues sur le câble, permettant un sniff passif du trafic d'un segment partagé ou mirroré.
Le mode promiscuité (ou promiscuous) est un état configurable de la carte réseau qui désactive le filtre MAC habituel et fait remonter à l'OS toutes les trames Ethernet vues, quel que soit le destinataire. Indispensable aux sniffers et IDS comme Wireshark, tcpdump, Snort ou Zeek pour observer le trafic d'autres hôtes. Sur un segment hub ou mirroré (SPAN), il suffit ; sur un réseau commuté moderne, il faut le combiner à un ARP spoofing, à un MAC flooding (overflow CAM), à un port mirroring ou à un tap pour vraiment voir le trafic des autres. Le mode promiscuité n'est pas malveillant en soi, mais il conditionne la reconnaissance passive, la capture de credentials et bien des MITM. Défenses : détecter les NIC inattendues en promiscuité (outils d'anomalie ARP, EDR), 802.1X, port-security, chiffrement du trafic sensible.
● Exemples
- 01
Lancer tcpdump -i eth0 en mode promiscuité pour capturer un SPAN miroir lors d'un IR.
- 02
Attaquant activant le mode promiscuité après un ARP spoofing de la passerelle pour capturer des credentials en clair.
● Questions fréquentes
Qu'est-ce que Mode promiscuité ?
Mode d'une carte réseau dans lequel la NIC remet au système d'exploitation toutes les trames vues sur le câble, permettant un sniff passif du trafic d'un segment partagé ou mirroré. Cette notion relève de la catégorie Attaques et menaces en cybersécurité.
Que signifie Mode promiscuité ?
Mode d'une carte réseau dans lequel la NIC remet au système d'exploitation toutes les trames vues sur le câble, permettant un sniff passif du trafic d'un segment partagé ou mirroré.
Comment fonctionne Mode promiscuité ?
Le mode promiscuité (ou promiscuous) est un état configurable de la carte réseau qui désactive le filtre MAC habituel et fait remonter à l'OS toutes les trames Ethernet vues, quel que soit le destinataire. Indispensable aux sniffers et IDS comme Wireshark, tcpdump, Snort ou Zeek pour observer le trafic d'autres hôtes. Sur un segment hub ou mirroré (SPAN), il suffit ; sur un réseau commuté moderne, il faut le combiner à un ARP spoofing, à un MAC flooding (overflow CAM), à un port mirroring ou à un tap pour vraiment voir le trafic des autres. Le mode promiscuité n'est pas malveillant en soi, mais il conditionne la reconnaissance passive, la capture de credentials et bien des MITM. Défenses : détecter les NIC inattendues en promiscuité (outils d'anomalie ARP, EDR), 802.1X, port-security, chiffrement du trafic sensible.
Comment se défendre contre Mode promiscuité ?
Les défenses contre Mode promiscuité combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de Mode promiscuité ?
Noms alternatifs courants : Mode promisc, Mode sniffing.
● Termes liés
- attacks№ 062
Usurpation ARP
Attaque sur réseau local qui envoie des messages ARP falsifiés pour associer la MAC de l'attaquant à l'IP d'un autre hôte et rediriger le trafic.
- attacks№ 312
Spoofing DHCP
Attaque dans laquelle un adversaire répond aux requêtes DHCP avec des offres forgées pour imposer une passerelle, un DNS ou d'autres options malveillantes aux clients.
- attacks№ 1135
Injection de TCP Reset
Attaque qui falsifie des segments TCP RST correspondant à une connexion existante pour forcer les extrémités à la fermer brutalement, cassant ou détournant la session.