Válogatás nélküli üzemmód

 Ez a szócikk nem tünteti fel a független forrásokat, amelyeket felhasználtak a készítése során. Emiatt nem tudjuk közvetlenül ellenőrizni, hogy a szócikkben szereplő állítások helytállóak-e. Segíts megbízható forrásokat találni az állításokhoz! Lásd még: A Wikipédia nem az első közlés helye.
Ez a szócikk vagy szakasz lektorálásra, tartalmi javításokra szorul. A felmerült kifogásokat a szócikk vitalapja részletezi (vagy extrém esetben a szócikk szövegében elhelyezett, kikommentelt szövegrészek). Ha nincs indoklás a vitalapon (vagy szerkesztési módban a szövegközben), bátran távolítsd el a sablont!
Csak akkor tedd a lap tetejére ezt a sablont, ha az egész cikk megszövegezése hibás. Ha nem, az adott szakaszba tedd, így segítve a lektorok munkáját!

A válogatás nélküli üzemmód vagy promiscuous mode számítógépek hálózati kártyájának olyan beállítását jelenti, amikor minden bejövő forgalmat továbbít a processzor felé, nem csak azokat, amiket neki címeztek. Célja általában a csomaglehallgatás (packet sniffing).

A hálózati keretek tartalmaznak egy hardvercímet (MAC-cím). Amikor a hálózati kártyába egy keret beérkezik, általában eldobja, ha nem neki van címezve. A válogatás nélküli üzemmódban futó kártya azonban beenged minden hálózati keretet, így lehetővé téve, hogy a számítógép beolvashassa a más számítógépek vagy hálózati eszközök számára elküldött kereteket.

Sok operációs rendszerben rendszergazdai jogosultságra van szükség a válogatás nélküli üzemmód bekapcsolásához. Egy útválasztást nem végző hálózati csomópont válogatás nélküli üzemmódban általában csak azoknak a csomópontoknak a forgalmát képes lehallgatni, amikkel egy ütközési tartományban van (Ethernet és WLAN esetében) vagy ugyanabban a gyűrűben (Token ringnél vagy FDDI-nél). Az ugyanarra a hubra csatlakozó számítógépek megfelelnek ennek a követelménynek, a hálózati kapcsolók alkalmazása azonban meggátolja a válogatás nélküli üzemmód rosszindulatú használatát. Egy útválasztó képes minden, általa továbbított forgalom monitorozására.

A válogatás nélküli üzemmódot gyakran használják hálózati problémák diagnosztizálására. Léteznek programok (pl. NetMon), melyek vizuálisan megmutatják a felhasználónak a hálózaton átvitt adatcsomagokat. Egyes protokollok, mint pl. az FTP vagy a telnet sima szövegként (titkosítás nélkül) viszik át az adatokat és a jelszavakat a hálózaton, amit a network scannerek meg tudnak mutatni. Ezért is ajánlott a nem biztonságos protokollok használatának visszaszorítása, és telnet helyett pl. SSH használata.

A promiscuous mode-ot transzparens hálózati hidakban is alkalmazzák, hogy minden hálózati forgalmat képes legyen elnyelni, aminek át kell jutnia a hídon, és a másik oldalon újra kibocsátani.

Észlelés

Mivel a válogatás nélküli üzemmódot rosszindulatú céllal is lehet használni a hálózaton való hallgatózásra, fontos lehet ismerni a módszereket a promiscuous mode-ban lévő eszközök felderítésére. Lényegében két módszer ismert erre:

  1. Ha egy hálózati eszköz válogatás nélküli üzemmódban fut, a kernelnek minden hálózati forgalmat fel kell dolgoznia, tehát a CPU-terhelés megnő. Így a hálózati válaszidő megnő, ami detektálható.
  2. Válogatás nélküli üzemmódban egyes szoftverek választ küldhetnek olyan hálózati keretekre, amik más gépnek lettek címezve. Ha ilyen válaszüzenetek láthatók a hálózaton, biztos, hogy a küldő gép válogatás nélküli üzemmódban van. Gyakorlott lehallgatók ezt persze kiküszöbölhetik (pl. jól megválasztott tűzfalbeállítások használatával). Egy példa lehet ping küldése (ICMP echo request) rossz MAC-címmel de helyes IP-címmel. Ha a tűzfal blokkolja az ICMP-forgalmat, ez megakadályozható.

A válogatás nélküli üzemmódot gyakran rosszindulatú alkalmazások használják, először rendszergazdai jogokat szerezve, majd ARP-hamisítást és IP-hamisítást elkövetve. Az ARP-hamisításhoz a hálózati kártyának promiscuous mode-ban kell lennie. Így az indokolatlanul válogatás nélküli üzemmódban lévő gépek szűrése fontos lépés az ARP-hamisítás felderítésére.

Válogatás nélküli üzemmódot használó alkalmazások

  • Aircrack-ng
  • KisMAC (WLAN-okhoz)
  • AirSnort (WLAN-okhoz)
  • Wireshark (korábbi nevén Ethereal)
  • tcpdump
  • IPTraf
  • PRTG
  • Kismet
  • a VMware VMnet hálózati hídja
  • Cain
  • Driftnet Software
  • Microsoft Windows Network Bridge
  • XLink Kai
  • WC3Banlist
  • Snort
  • ntop
  • VirtualBox (hálózatihíd-üzemmódban)
  • SmartSniff

Fordítás

  • Ez a szócikk részben vagy egészben a Promiscuous mode című angol Wikipédia-szócikk ezen változatának fordításán alapul. Az eredeti cikk szerkesztőit annak laptörténete sorolja fel. Ez a jelzés csupán a megfogalmazás eredetét és a szerzői jogokat jelzi, nem szolgál a cikkben szereplő információk forrásmegjelöléseként.
  • Informatika Informatikai portál • összefoglaló, színes tartalomajánló lap