Modo promíscuo
O que é Modo promíscuo?
Modo promíscuoModo de uma interface de rede em que a NIC entrega ao SO todas as tramas que vê no meio, permitindo sniffing passivo de tráfego num segmento partilhado ou espelhado.
O modo promíscuo é um estado configurável da placa de rede que desliga o filtro habitual por MAC, fazendo com que a NIC entregue ao sistema operativo todas as tramas Ethernet vistas, qualquer que seja o destino. É essencial a sniffers e IDS como Wireshark, tcpdump, Snort e Zeek para observar tráfego de outros hosts. Em segmentos com hub ou espelho (SPAN) basta ativá-lo; em redes comutadas modernas é necessário combiná-lo com ARP spoofing, MAC flooding (overflow da tabela CAM), port mirroring ou um tap para ver tráfego alheio. Não é malicioso em si, mas é a base do reconhecimento passivo, da captura de credenciais e de muitos MITM. Defesas: detetar NIC inesperadas em modo promíscuo (ferramentas de anomalia ARP, EDR), 802.1X, port-security e cifrar tráfego sensível.
● Exemplos
- 01
Executar tcpdump -i eth0 em modo promíscuo para capturar tráfego SPAN durante resposta a incidentes.
- 02
Atacante que ativa modo promíscuo após ARP spoofing do gateway para capturar credenciais em claro.
● Perguntas frequentes
O que é Modo promíscuo?
Modo de uma interface de rede em que a NIC entrega ao SO todas as tramas que vê no meio, permitindo sniffing passivo de tráfego num segmento partilhado ou espelhado. Pertence à categoria Ataques e ameaças da cibersegurança.
O que significa Modo promíscuo?
Modo de uma interface de rede em que a NIC entrega ao SO todas as tramas que vê no meio, permitindo sniffing passivo de tráfego num segmento partilhado ou espelhado.
Como funciona Modo promíscuo?
O modo promíscuo é um estado configurável da placa de rede que desliga o filtro habitual por MAC, fazendo com que a NIC entregue ao sistema operativo todas as tramas Ethernet vistas, qualquer que seja o destino. É essencial a sniffers e IDS como Wireshark, tcpdump, Snort e Zeek para observar tráfego de outros hosts. Em segmentos com hub ou espelho (SPAN) basta ativá-lo; em redes comutadas modernas é necessário combiná-lo com ARP spoofing, MAC flooding (overflow da tabela CAM), port mirroring ou um tap para ver tráfego alheio. Não é malicioso em si, mas é a base do reconhecimento passivo, da captura de credenciais e de muitos MITM. Defesas: detetar NIC inesperadas em modo promíscuo (ferramentas de anomalia ARP, EDR), 802.1X, port-security e cifrar tráfego sensível.
Como se defender contra Modo promíscuo?
As defesas contra Modo promíscuo costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Modo promíscuo?
Nomes alternativos comuns: Modo promisc, Modo de sniffing.
● Termos relacionados
- attacks№ 062
Spoofing de ARP
Ataque na rede local que envia mensagens ARP forjadas para associar o MAC do atacante ao IP de outro host e redirecionar o tráfego.
- attacks№ 312
Spoofing de DHCP
Ataque em que o adversário responde a pedidos DHCP com ofertas forjadas para impor um gateway, DNS ou outras opções maliciosas aos clientes vítima.
- attacks№ 1135
Injeção de TCP Reset
Ataque que forja segmentos TCP RST correspondentes a uma ligação existente para que os endpoints a fechem abruptamente, quebrando ou sequestrando a sessão.