mode promiscuous failled avec snort

par **zicos22** » 16 Juin 2004 18:43

Salut !
je suis sous fedora, j'ai installé snort, mysql, ACID ... versoin 2.1.3
je lance snort en demon et apparement il y a un probleme avec le mode promiscuous.
(d'apres mes alerte et le faq de snort)
pouvez vous me confirmer cela ?
voici ce que j'obtiens quand je lance snort
#tail /var/log/messages

Jun 16 18:32:16 calamar kernel: device eth0 left promiscuous mode
Jun 16 18:32:27 calamar kernel: device eth1 left promiscuous mode
Jun 16 18:33:36 calamar kernel: device eth1 entered promiscuous mode
Jun 16 18:33:36 calamar snort: OpenPcap() device eth1 network lookup: ^Ieth1: no IPv4 address assigned
Jun 16 18:33:36 calamar snort: Initializing daemon mode
Jun 16 18:33:36 calamar snort: PID path stat checked out ok, PID path set to /var/run/
Jun 16 18:33:36 calamar snort: Writing PID "22479" to file "/var/run//snort_eth1.pid"
Jun 16 18:33:37 calamar snort: telnet_decode arguments:
Jun 16 18:33:37 calamar snort: Ports to decode telnet on: 21 23 25 119
Jun 16 18:33:41 calamar snort: Snort initialization completed successfully

Que signifie les trois première ligne j'ai un doute, snort lance par défault le mode promiscuous sur toute les carte réseaux?
NB: eth1 ==>sonde
eth0 ==> static adrees

par **Methos_Hi** » 16 Juin 2004 21:58

left c'est qui le quitte et entered c'est qu'il est entré en mode prosc...
donc ya que eth1 on dirait

a quoi te sert le mode mode promiscuous?
sur quoi est branché eth1 ?

par **Franck78** » 16 Juin 2004 22:19

Il y a 1 minute entre la fin du mode promiscuous et le lancement de snort.

Snort ne repasse que eth1 en écoute!

Le mode promiscuous remonte toutes les frames ethernet (all mac-address)
a la couche de niveau supérieur. Donc ici pour analyse.

par **Methos_Hi** » 16 Juin 2004 22:34

là où je voulais en venir c'est que si il est sur un switch, il va pas voir grand chose.
C'est pour çà que je voulais savoir où et comment était positionné sa sonde et à quoi elle servait...

par **zicos22** » 17 Juin 2004 08:30

Salut
merci de vos réponses
ma sonde est placé sur un VLAN relié à un routeur près de l'acccès Internet du réseau local.
Elle est placé juste après le firewall.

je me demandais ce qu'était entered et left. donc le mode promiscuous se lance bien sur eth1. d'après mes recherche sur le net j'en ai deduit que justement le mode promiscuous tombait au bout d'un moment quand on lancait snort en mode démon.
si qq'un as déja retrouvé ce problème et qui à éventuellement une solution. ca m'intéresse.
version de snort 2.1.2 puis upgrade à 2.1.3 (fichier binaire)
je suis sous fédora core1
libpcap-0.8.1

Voila si qq'un as une solution qu'il n'ésite pas
NB: il à t'il un moyen de savoir à un moment T si eth1 est en mode promiscuous ou pas??
si on configure la carte eth1 en mode promisc et que snort le refait après ca annule pas ca????
c'est snort qui met eth1 en mode promisc ou pas?

par **Franck78** » 17 Juin 2004 12:30

Mais essaies donc au lieu de poser des questions ! C'est pas compliqué quand même de lancer snort et voir les messages concernant les ethX !

par **ImoThep** » 17 Juin 2004 16:01

salut

viewtopic.php?t=8639&start=0

j'avais posé quelques questions sur le mode promiscuous il y a quelques temps, si ca peut t'aider...

++
A.

par **sounkere** » 06 Juil 2004 20:29

pour verifier les interface sous le mode promiscuous fais promisc_check ok.

mode promiscuous failled avec snort

mode promiscuous failled avec snort

mode promiscuous

Qui est en ligne ?