混杂模式
混杂模式 是什么?
混杂模式网络接口的一种模式,NIC 会将链路上看到的所有帧都送给操作系统,实现对共享或镜像段流量的被动嗅探。
混杂模式是网卡的一种可配置状态,关闭了默认的 MAC 地址过滤,使 NIC 将所看到的全部以太网帧(无论目的)都送往操作系统。Wireshark、tcpdump、Snort、Zeek 等嗅探器与 IDS 都需要它来观察其他主机的流量。在使用集线器或具备端口镜像(SPAN)的网段,只需启用混杂模式即可;但在现代交换网络中,通常需要与 ARP 欺骗、MAC 洪泛(CAM 表溢出)、端口镜像或网络分接结合才能真正看到他人流量。混杂模式本身并非恶意,但它是被动侦察、凭据捕获以及多种 MITM 攻击的前提。防御措施:监测意外开启混杂模式的网卡(ARP 异常工具、EDR)、启用 802.1X 与端口安全,并加密敏感流量。
● 示例
- 01
应急响应时以混杂模式运行 tcpdump -i eth0 捕获镜像端口的 SPAN 流量。
- 02
攻击者对网关进行 ARP 欺骗后启用混杂模式,以嗅探明文凭据。
● 常见问题
混杂模式 是什么?
网络接口的一种模式,NIC 会将链路上看到的所有帧都送给操作系统,实现对共享或镜像段流量的被动嗅探。 它属于网络安全的 攻击与威胁 分类。
混杂模式 是什么意思?
网络接口的一种模式,NIC 会将链路上看到的所有帧都送给操作系统,实现对共享或镜像段流量的被动嗅探。
混杂模式 是如何工作的?
混杂模式是网卡的一种可配置状态,关闭了默认的 MAC 地址过滤,使 NIC 将所看到的全部以太网帧(无论目的)都送往操作系统。Wireshark、tcpdump、Snort、Zeek 等嗅探器与 IDS 都需要它来观察其他主机的流量。在使用集线器或具备端口镜像(SPAN)的网段,只需启用混杂模式即可;但在现代交换网络中,通常需要与 ARP 欺骗、MAC 洪泛(CAM 表溢出)、端口镜像或网络分接结合才能真正看到他人流量。混杂模式本身并非恶意,但它是被动侦察、凭据捕获以及多种 MITM 攻击的前提。防御措施:监测意外开启混杂模式的网卡(ARP 异常工具、EDR)、启用 802.1X 与端口安全,并加密敏感流量。
如何防御 混杂模式?
针对 混杂模式 的防御通常结合技术控制与运营实践,详见上方完整定义。
混杂模式 还有哪些其他名称?
常见的别称包括: promisc 模式, 网络嗅探模式。
● 相关术语
● 参见
- № 554IP 分片攻击