Vlákno názorů k článku Bráníme se odposlechu: promiskuitní režim od David Rohleder - allmulti není nutný, ale třeba v tom článku,...
-
David Rohleder (neregistrovaný)allmulti není nutný, ale třeba v tom článku, na který odkazujete je poznámka o 3Com kartě, která díky nedodělanému ovladači má toto nastavení zapnuto.
Podobná může být situace, kdy používáte multicast natolik intenzivně, že v kartě obsadíte všechny záznamy v tabulce multicastových adres, které propouští do software. Pak se takový filtr patrně vypne a do software půjdou všechny multicasty. -
Diky za link, jste hodny :-D. Tato adresa se tam nenaleza, presto jiz tedy netvrdim ze to neni multicast adresa.
Dale bych se chtel zeptat proc by si nekdo zapinal rezim allmulti (tedka jsem to zkousel a opravdu propousti vse s nastavenym skupinovym bitem)? Pokud nepotrebuju ziskavat cizi data, tak neni rezim allmulti nutny :-) to znamena bude si ho zapinat vzdy nekdo kdo chce odposlouchavat ;). -
David Rohleder (neregistrovaný)A abyste neřekl, že jsem na vás zlý, tak tady máte seznam multicastových adres :-)
-
David Rohleder (neregistrovaný)Multicast adresy jsou všechny adresy, které mají v posledním bitu prvního bytu jedničku :-) Broadcast je pouze speciálním případem multicastové adresy.
adresy 01-00-5e-00-00-00 do 01-00-5e-ff-ff-ff jsou IPv4 multicastové adresy. Další např:
01-00-0C-CC-CC-CC CDP,VTP
01-80-C2-00-00-00 STP
33-33-00-00-00-00 IPv6 Neighbor Discovery
Důležité je podle mne to, že ačkoliv popisované nástroje mohou detekovat síťovou kartu v promiskuitním režimu, tak to nemusí být pravda.
No a nejjednodušší obrana proti takovému odhalení je samozřejmě přestříhnutí TX drátů v kabelu :-) -
Rezim allmulti je hezky ale co ? Tento rezim propusi vsechny multicast adresy :-). Pokud se ale nepletu tak multicas adresy jsou pouze v rozsahu od 01-00-5e-00-00-00 do 01-00-5e-ff-ff-ff. Budu rad kdyz me ukazete nejake dokumenty ktere rikaji ze multicast adresa je i FF:FF:FF:FF:FF:FE :-D. Jinak jake dalsi nesmysli jsou v clanku, abych je mohl uvest na pravou miru?
Jinak diky ze vas moje clanky zajmaji, i pres to ze se v kazdem dile dohadujeme :-D. -
David Rohleder (neregistrovaný)Adresa FF:FF:FF:FF:FF:FE je multicastová adresa. Reakce na takové pakety je pak záležitostí operačního systému a ovladače karty. U výše zmíněné adresy autor zcela automaticky předpokládá, že by jej měla karta v nepromiskuitním režimu zahodit. To ovšem není tak pravda. Karta takový paket může propustit v závislosti na nastavení. Třeba můj linux takový paket zcela jistě propustí až k softwarovému filtru a to síťovka není nastavena v promiskuitním režimu.
Pro autora: stačí man ifconfig a podívat se na parametr allmulti
ČLÁNKY DO MAILU