Hallo Liste! Wie kann ich im Logfile angezeigt bekommen, wenn einer der Rechner im lokalen Netzwerk in den o. g. Modus schaltet? Vielen Dank! J. Wolfgarten
Jens Wolfgarten schrieb:
Hallo Liste!
Wie kann ich im Logfile angezeigt bekommen, wenn einer der Rechner im lokalen Netzwerk in den o. g. Modus schaltet?
im Netzwerk? gar nicht, das geht höchstens auf dem einzelnen Rechner aber nicht fürs ganze Netzwerk. Wie genau das lokal geht weiss ich aber leider auch nicht. Daniel "fengor" Brachmann
Daniel Brachmann schrieb:
Jens Wolfgarten schrieb:
Wie kann ich im Logfile angezeigt bekommen, wenn einer der Rechner im lokalen Netzwerk in den o. g. Modus schaltet?
im Netzwerk? gar nicht, das geht höchstens auf dem einzelnen Rechner aber nicht fürs ganze Netzwerk.
Ich habe aber gelesen, daß es von L0phtcrack ein Tool unter NT/2000 geben soll, welches das angeblich kann. Kann das dann gar nicht gehen? Jens Wolfgarten
Jens Wolfgarten schrieb:
Daniel Brachmann schrieb:
Jens Wolfgarten schrieb:
Wie kann ich im Logfile angezeigt bekommen, wenn einer der Rechner im lokalen Netzwerk in den o. g. Modus schaltet?
im Netzwerk? gar nicht, das geht höchstens auf dem einzelnen Rechner aber nicht fürs ganze Netzwerk.
Ich habe aber gelesen, daß es von L0phtcrack ein Tool unter NT/2000 geben soll, welches das angeblich kann. Kann das dann gar nicht gehen?
ich wüsste nicht wie, die netzwerkkarte wird ja wohl kaum ins Netzwerk rausschreien: "He ihr hört mal alle her ich spionier euch jetzt aus!" oder? Die Einstellungen der Netzwerkkarte sind eine lokale Sache und ich wüsste nicht wie man die remote rauskriegen kann. Kann allerdings auch sein dass ich mich irre, dann lasse ich mich gern eines besseren belehren :-) Daniel "fengor" Brachmann
Hallo Liste! Nochmals ein Nachtrag: Das habe ich dazu in einer anderen Liste gefunden.
Check out AntiSniff from L0pht: http://www.securityfocus.com/templates/tools.html?id=1541 or http://www.securitysoftwaretech.com/antisniff/index.html
J. Wolfgarten
Jens Wolfgarten wrote:
Hallo Liste!
Wie kann ich im Logfile angezeigt bekommen, wenn einer der Rechner im lokalen Netzwerk in den o. g. Modus schaltet?
Abhängig davon vie Du deine syslog.conf verbogen hast.... tail -f /var/log/messages Mär 28 17:26:26 brainy su: (to root) myself on /dev/pts/17 ...derweil als 'su' ifconfig eth0 promisc kurz darauf ... Mar 28 17:26:47 brainy kernel: device eth0 entered promiscuous mode und wieder abstellen: ifconfig eth0 -promisc Mar 28 17:27:33 kappa kernel: device eth0 left promiscuous mode Gruß, Daniel
Daniel Wolpert schrieb:
Jens Wolfgarten wrote:
Hallo Liste!
Wie kann ich im Logfile angezeigt bekommen, wenn einer der Rechner im lokalen Netzwerk in den o. g. Modus schaltet?
Abhängig davon vie Du deine syslog.conf verbogen hast....
tail -f /var/log/messages
Mär 28 17:26:26 brainy su: (to root) myself on /dev/pts/17
...derweil als 'su'
ifconfig eth0 promisc
kurz darauf ...
Mar 28 17:26:47 brainy kernel: device eth0 entered promiscuous mode
und wieder abstellen: ifconfig eth0 -promisc
Mar 28 17:27:33 kappa kernel: device eth0 left promiscuous mode
ok das zeigt es ihm lokal an, aber was ist mit den restlichen Rechnern im Netzwerk? gruss Daniel "fengor" Brachmann
Entweder schaufelst Du die zu loggenden Nachrichten auf eine zentrale Maschine siehe 'man syslog.conf' oder du pollst die jeweiligen Maschinen einzeln. Daniel
On 28 Mar 2001, at 17:06, Jens Wolfgarten wrote: [Frage zu Promiscuous Mode] Hi Folks, eine Frage zum Verständnis. Ich hab folgenes zu dem Mode gefunden: Enable or disable the promiscuous mode of the interface. If selected, all packets on the network will be received by the interface. Wie sieht das jetzt bei einem Switch aus. Der Knabe schaltet doch dedizierte Verbindungen, oder irre ich? Wo liegen die typischen Anwendungsgebiete dieses Modus? Ich kann mir den Sinn nur im security Bereich vage vorstellen. Wär nett wenn jemand das ein bißchen erläutert. Danke Alex
Hi Alex, On Wednesday, 28. March 2001 17:52, Alex Klein wrote:
On 28 Mar 2001, at 17:06, Jens Wolfgarten wrote:
[Frage zu Promiscuous Mode]
eine Frage zum Verständnis. Ich hab folgenes zu dem Mode gefunden:
Enable or disable the promiscuous mode of the interface. If selected, all packets on the network will be received by the interface.
Wie sieht das jetzt bei einem Switch aus. Der Knabe schaltet doch dedizierte Verbindungen, oder irre ich? Wo liegen die typischen Anwendungsgebiete dieses Modus? Ich kann mir den Sinn nur im security Bereich vage vorstellen. Wär nett wenn jemand das ein bißchen erläutert.
gute Frage, ich habe hier zu Hause jetzt leider keinen Switch zum Testen neben mir stehen, aber ich denke, Du liegst da richtig. Der Switch entscheidet anhand der MAC, welcher Rechner das Ziel eines Pakets ist und schickt es ausschließlich dorthin, während beim Hub salopp gesagt die NICs im Subnetz selbst entscheiden müssen, ob das Paket für sie bestimmt ist. Hier kann man dann mit dem promiscuous mode alles aufsammeln. Korrigiert mich bitte, wenn das nicht korrekt ist. Gruß, Stephan -- Stephan Hakuli | mailto: stephan@hakuli.de | * GnuPG/PGP-Key * | callto: 01 71 - 651 89 43 | available, please | surfto: http://www.hakuli.de | visit my homepage
Hallo Liste, ich sehe grade, daß hier Leute Ahnung vom Promiscuous Mode haben... Funktioniert der eigentlich auch bei Token Ring ? Ich hatte mal bei iptraf versucht den Modus zu aktivieren. Das ging aber nur auf der Ethernet Karte. Hängt das der Art des Netzes, der Karte, dem Device oder schlicht an iptraf ? Gruß, Thomas
Hallo Thomas, Thomas Rieke schrieb:
ich sehe grade, daß hier Leute Ahnung vom Promiscuous Mode haben...
Das nicht unbedingt, aber...
Funktioniert der eigentlich auch bei Token Ring ?
Ja. Das hängt: 1. von der Karte (nicht alle unterstützen diesen Modus) und 2. von den Karten-Treibern ab. Folgende Zitate aus der TR-ML: gilt für (Zitat von Paul Ionescu) "...IBM 4/16 Turbo, usable with ibmtr_cs..." Antwort von Mike Phillips: "I don't think that promiscuous or mac frame capture was written into the driver (not all cards support promisc anyway.) The olympic driver will do this and as soon as I get the olympic cardbus driver working it will be able to do it as well." Meine Erfahrung (unter WIN NT): Die Olicom 3137-3140 und die TC-Karten funktionieren. Lt. Olicom-Doku zu den eigenen Treibern soll das aber auch unter Linux gehen.
Gruß,
Thomas
Hoffe, es hilft Thomas -- ./no_signature
Hallo, Alex Klein wrote:
Wie sieht das jetzt bei einem Switch aus. Der Knabe schaltet doch dedizierte Verbindungen, oder irre ich?
So ist es. Dort duerftest Du also nur Pakete sehen, die ueber ihre MAC-Adresse an Deinen Rechner gerichtet sind. Die anderen Pakete siehst Du nicht - anders bei einem Hub. Da siehst Du in diesem Modus alles, was ueber das Ethernet geht.
Wo liegen die typischen Anwendungsgebiete dieses Modus?
Zum Beispiel wenn es Probleme im Netz zu analysieren gilt. Oder wenn Leute den Netz-Traffic messen bzw. ueberwachen wollen. Oder um z.B. Klartextpasswoerter auszuspaehen... ;-) Gruss, Steffen
participants (8)
-
Alex Klein -
Daniel Brachmann -
Daniel Wolpert -
Jens Wolfgarten -
Steffen Moser -
Stephan Hakuli -
Thomas Rieke -
Thomas Schürmann