Прослушивающий режим
Что такое Прослушивающий режим?
Прослушивающий режимРежим сетевого интерфейса, в котором сетевая карта передаёт ОС все увиденные кадры, позволяя пассивно перехватывать трафик в общем или зеркальном сегменте.
Прослушивающий (promiscuous) режим — настраиваемое состояние сетевой карты, отключающее фильтр по MAC-адресу и заставляющее NIC передавать ОС каждый увиденный Ethernet-кадр независимо от назначения. Он необходим снифферам и IDS вроде Wireshark, tcpdump, Snort и Zeek для наблюдения за чужим трафиком. На сегменте с хабом или зеркалом (SPAN) достаточно его включить; в современных коммутируемых сетях для реального доступа к чужим данным его комбинируют с ARP-спуфингом, MAC-флудом (переполнение CAM), зеркалированием портов или физическим TAP. Сам по себе режим не является вредоносным, но он — фундамент пассивной разведки, перехвата учётных данных и многих MITM. Защита: обнаружение неожиданных интерфейсов в promiscuous (ARP-аномалии, EDR), 802.1X, port-security и шифрование чувствительного трафика.
● Примеры
- 01
Запуск tcpdump -i eth0 в promiscuous-режиме для захвата SPAN-трафика во время реагирования на инцидент.
- 02
Злоумышленник включает promiscuous после ARP-спуфинга шлюза, чтобы перехватить учётные данные в открытом виде.
● Частые вопросы
Что такое Прослушивающий режим?
Режим сетевого интерфейса, в котором сетевая карта передаёт ОС все увиденные кадры, позволяя пассивно перехватывать трафик в общем или зеркальном сегменте. Относится к категории Атаки и угрозы в кибербезопасности.
Что означает Прослушивающий режим?
Режим сетевого интерфейса, в котором сетевая карта передаёт ОС все увиденные кадры, позволяя пассивно перехватывать трафик в общем или зеркальном сегменте.
Как работает Прослушивающий режим?
Прослушивающий (promiscuous) режим — настраиваемое состояние сетевой карты, отключающее фильтр по MAC-адресу и заставляющее NIC передавать ОС каждый увиденный Ethernet-кадр независимо от назначения. Он необходим снифферам и IDS вроде Wireshark, tcpdump, Snort и Zeek для наблюдения за чужим трафиком. На сегменте с хабом или зеркалом (SPAN) достаточно его включить; в современных коммутируемых сетях для реального доступа к чужим данным его комбинируют с ARP-спуфингом, MAC-флудом (переполнение CAM), зеркалированием портов или физическим TAP. Сам по себе режим не является вредоносным, но он — фундамент пассивной разведки, перехвата учётных данных и многих MITM. Защита: обнаружение неожиданных интерфейсов в promiscuous (ARP-аномалии, EDR), 802.1X, port-security и шифрование чувствительного трафика.
Как защититься от Прослушивающий режим?
Защита от Прослушивающий режим обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Прослушивающий режим?
Распространённые альтернативные названия: Режим promisc, Режим сниффинга.
● Связанные термины
- attacks№ 062
ARP-спуфинг
Атака в локальной сети: подделанные ARP-сообщения связывают MAC-адрес злоумышленника с IP другого узла и перенаправляют трафик через атакующего.
- attacks№ 312
Подмена DHCP
Атака, при которой злоумышленник отвечает на DHCP-запросы поддельными офферами, чтобы навязать клиентам вредоносные шлюз, DNS или другие опции.
- attacks№ 1135
Инъекция TCP Reset
Атака с подделкой сегментов TCP RST, соответствующих текущему соединению, заставляющая стороны резко закрыть его и тем самым разрывающая или похищающая сессию.