Ainsi parla Olivier Ghislain le 010ème jour de l'an 2004: > Salut à tous, > > Suite à tous, suite au discution sur les rootkits et intrusion, j'ai > passé mon system avec chkrootkit et j'ai une ligne qui m'intrigue: > > eth0: PACKET SNIFFER(/sbin/dhclient[256]) > > J'ai une debian sid avec un client DHCP-client version 2.0pl5-16.1 > j'ai également ces lignes au demarrage: > > Sat Jan 10 10:20:24 2004: For info, please visit > http://www.isc.org/dhcp-contrib.html > Sat Jan 10 10:20:24 2004: > Sat Jan 10 10:20:26 2004: Listening on LPF/eth0/52:54:05:ff:39:c7 > Sat Jan 10 10:20:26 2004: Sending on LPF/eth0/52:54:05:ff:39:c7 > Sat Jan 10 10:20:26 2004: Sending on Socket/fallback/fallback-net > Sat Jan 10 10:20:26 2004: DHCPREQUEST on eth0 to 255.255.255.255 port > 67 Sat Jan 10 10:20:26 2004: DHCPACK from 192.168.0.1 > Sat Jan 10 10:20:26 2004: bound to 192.168.0.8 -- renewal in 302400 > seconds. Sat Jan 10 10:20:26 2004: done. > > Je me pose la question si j'ai réellement un sniffer, ou si c'est > normal que dhclient ecoute eth0 pour des renouvellement d'adresse ip. Oui: en mode "négociation", eth0 n'a "virtuellement" pas d'IP attribuée, donc dhclient a besoin de la passer en mode promisc (c'est à dire écouter tout ce qui passe sur le réseau) pour recevoir les infos communiquées par le serveur DHCP. -- .,p**"*=b_ Nicolas Rueff ?P" .__ `*b Montbéliard - France |P .d?'`&, 9| http://rueff.tuxfamily.org M: |} |- H' n.rueff@free.fr &| `#?_._oH' +33 6 77 64 44 80 `H. "`"`' GPG 0xDD44DAB4 `#?. ICQ 97700474 `^~. We are Penguin. Resistance is futile. You will be assimilated.
Attachment:
pgpx7_rrCN5Kr.pgp
Description: PGP signature