プロミスキャス モード
プロミスキャス モード とは何ですか?
プロミスキャス モードNIC が物理メディア上で見えるすべてのフレームを OS に渡すネットワーク インターフェイスのモードで、共有またはミラーリング セグメントの受動的なスニッフィングを可能にする。
プロミスキャス モードは、ネットワーク カードの設定可能な状態で、通常の MAC アドレス フィルタを無効化し、宛先に関わらず NIC が見たすべてのイーサネット フレームを OS に渡します。Wireshark、tcpdump、Snort、Zeek などのスニッファや IDS が他ホストの通信を観測するために必要です。ハブまたは SPAN ミラー セグメントでは有効化のみで足りますが、近年のスイッチド ネットワークでは ARP スプーフィング、MAC フラッディング(CAM テーブル オーバーフロー)、ポート ミラーリング、ネットワーク タップなどと組み合わせなければ他者の通信は見えません。モード自体は悪意あるものではありませんが、受動的偵察、資格情報の盗取、各種 MITM 攻撃の前提条件となります。対策は予期せぬプロミスキャス NIC の検出(ARP 異常ツールや EDR)、802.1X、ポート セキュリティ、機微通信の暗号化です。
● 例
- 01
インシデント対応で tcpdump -i eth0 をプロミスキャス モードで起動し SPAN トラフィックを取得する。
- 02
ゲートウェイを ARP スプーフィング後、攻撃者がプロミスキャス モードを有効化して平文の資格情報を窃取する。
● よくある質問
プロミスキャス モード とは何ですか?
NIC が物理メディア上で見えるすべてのフレームを OS に渡すネットワーク インターフェイスのモードで、共有またはミラーリング セグメントの受動的なスニッフィングを可能にする。 サイバーセキュリティの 攻撃と脅威 カテゴリに属します。
プロミスキャス モード とはどういう意味ですか?
NIC が物理メディア上で見えるすべてのフレームを OS に渡すネットワーク インターフェイスのモードで、共有またはミラーリング セグメントの受動的なスニッフィングを可能にする。
プロミスキャス モード はどのように機能しますか?
プロミスキャス モードは、ネットワーク カードの設定可能な状態で、通常の MAC アドレス フィルタを無効化し、宛先に関わらず NIC が見たすべてのイーサネット フレームを OS に渡します。Wireshark、tcpdump、Snort、Zeek などのスニッファや IDS が他ホストの通信を観測するために必要です。ハブまたは SPAN ミラー セグメントでは有効化のみで足りますが、近年のスイッチド ネットワークでは ARP スプーフィング、MAC フラッディング(CAM テーブル オーバーフロー)、ポート ミラーリング、ネットワーク タップなどと組み合わせなければ他者の通信は見えません。モード自体は悪意あるものではありませんが、受動的偵察、資格情報の盗取、各種 MITM 攻撃の前提条件となります。対策は予期せぬプロミスキャス NIC の検出(ARP 異常ツールや EDR)、802.1X、ポート セキュリティ、機微通信の暗号化です。
プロミスキャス モード からどのように防御しますか?
プロミスキャス モード に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
プロミスキャス モード の別名は何ですか?
一般的な別名: promisc モード, スニッフィング モード。
● 関連用語
● 関連項目
- № 554IP フラグメンテーション攻撃