- 締切済み
MACアドレスが不明な端末からの接続を検出
Linuxマシンでルータ機能を使っています. そのLinuxマシンにハブで数台のクライアントをつなぎ, インターネットに接続しています. ログを見たところ, dhcpd: DHCPINFORM from 192.168.1.187 via eth1 dhcpd: DHCPACK to 192.168.1.187 (<no client hardware address>) via eth1 kernel: eth0: Promiscuous mode enabled. kernel: device eth0 entered promiscuous mode kernel: device eth0 left promiscuous mode kernel: eth1: Promiscuous mode enabled. kernel: device eth1 entered promiscuous mode kernel: device eth1 left promiscuous mode このようにMACアドレスが不明と出てしまいました. このIPを調べたところ,以前から問題なく使ってるPCで, インターネットにもちゃんと接続できています. しかも,5分くらい前のログではきちんと dhcpd:DHCPREQUEST for 192.168.1.187 from MACアドレス (コンピュータ名) via eth1 dhcpd:DHCPACK on 192.168.1.187 to MACアドレス (コンピュータ名) via eth1 と正常です.MACアドレス不明のメッセージが出てから20分後のログでは正常に 戻っていました. それと,普段見られない以下のログが出ていました. kernel: eth0: Promiscuous mode enabled. kernel: device eth0 entered promiscuous mode kernel: device eth0 left promiscuous mode kernel: eth1: Promiscuous mode enabled. kernel: device eth1 entered promiscuous mode kernel: device eth1 left promiscuous mode kernel: dhcpd: Wrote 21 leases to leases file. kernel: eth0: Promiscuous mode enabled. kernel: device eth0 entered promiscuous mode ちなみに,無線機能はなし,不審なPCは接続ありません. どのような状況なのか教えていただけませんでしょうか. よろしくお願いします.
- みんなの回答 (1)
- 専門家の回答
みんなの回答
- chirubou
- ベストアンサー率37% (189/502)
kernel: eth0: Promiscuous mode enabled. kernel: device eth0 entered promiscuous mode ですが、tcpdump を使うとこうなります。tcpdump はそのマシンにやって来た全てのパケットを表示するコマンドです。man tcpdumpで詳細が分かると思います。 これができるということは、raw モードで任意のパケットを作ることができますので、MACアドレスが不明のパケットも作ることが、プログラムを組めば、可能です。 普通はそのマシンに到達するはずのパケットしか受け取らないモードになっているのですが、promiscuous mode にすると、そのマシンが受け取ることができる全てのパケットを受け取るようになります。tcpdump コマンドはこれを利用して、パケットのモニタリングをしています。 不正なMACアドレスのパケットがある、というのはかなり異常な状態だと思います。Promisc mode にするとそのネットワークセグメントのパケットを「盗聴」することができるので、悪意のあるプログラムが走っていて、パケットを盗聴している可能性があるかもしれません。もし tcpdump を使っているユーザがいないのであれば、調べてみるべきだと思います。
![その他([技術者向] コンピューター) イメージ](https://gazo.okwave.jp/okwave/spn/images/related_qa/c205_4_thumbnail_img_sm.png)
