Re: Suis je sniffer?
On Wed, 14 Jan 2004 11:50:57 +0100
Jean-Michel OLTRA <jm.oltra.antispam@espinasse.net> wrote:
> Le reste, 'no packet sniffer sockets', si mon angliche est convenable,
> signifie(rait) que chkrootkit n'a pas trouvé de socket qui pourrait
> indiquer la présence d'un sniffer (il faut bien que le sniffer
> retransmette ce qu'il renifle -j'aime pas tellement sniffer, comme
> verbe.-).
>
> Cependant il y a eu un fil de discussion sur la liste concernant
> chkrootkit et le mode promiscuous. C'était pas F. Boisson qui l'avait
> initié et qui pourrait nous rafraîchir la mémoire ?
C'était..
Sur ce problème précis, chkrootkit peut rater une interface en mode
promiscuous (il suffit de faire un tcpdump et de lancer chkrootkit en même
temps, il ne voit pas l'interface en mode promiscuous de même que
ifconfig). Par contre la commande "ip link" affiche l'ensemble des
interfaces et leur état (mode promiscuous ou non).
François Boisson
cerbere:/home/francois# tcpdump > /dev/null 2> /dev/null &
cerbere:/home/francois# ip link
1: lo: <LOOPBACK,UP> mtu 16436 qdisc noqueue
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
2: teql0: <NOARP> mtu 1500 qdisc noop qlen 100
link/void
3: eth0: <BROADCAST,MULTICAST,PROMISC,UP> mtu 1500 qdisc pfifo_fast qlen
100 link/ether 00:e0:7d:e2:1b:e8 brd ff:ff:ff:ff:ff:ff
4: eth1: <BROADCAST,UP> mtu 1500 qdisc htb qlen 30
link/ether 00:50:ba:d5:4a:f4 brd ff:ff:ff:ff:ff:ff
cerbere:/home/francois# ifconfig eth0
eth0 Lien encap:Ethernet HWaddr 00:E0:7D:E2:1B:E8
inet adr:192.168.1.251 Bcast:192.168.1.255
Masque:255.255.255.0 UP BROADCAST RUNNING MULTICAST MTU:1500
Metric:1 RX packets:5416117 errors:0 dropped:0 overruns:0 frame:0
TX packets:5156508 errors:0 dropped:0 overruns:0 carrier:0
collisions:179762 lg file transmission:100
RX bytes:509556562 (485.9 MiB) TX bytes:2989720578 (2.7 GiB)
Interruption:11
cerbere:/home/francois# chkrootkit
ROOTDIR is `/'
Checking `amd'... not found
Checking `basename'... not infected
...
Checking `sniffer'...
eth0 is not promisc
eth1 is not promisc
Checking `wted'... nothing deleted
Checking `w55808'... not infected
...
cerbere:/home/francois# killall tcpdump
cerbere:/home/francois# ip link
1: lo: <LOOPBACK,UP> mtu 16436 qdisc noqueue
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
2: teql0: <NOARP> mtu 1500 qdisc noop qlen 100
link/void
3: eth0: <BROADCAST,MULTICAST,UP> mtu 1500 qdisc pfifo_fast qlen 100
link/ether 00:e0:7d:e2:1b:e8 brd ff:ff:ff:ff:ff:ff
4: eth1: <BROADCAST,UP> mtu 1500 qdisc htb qlen 30
link/ether 00:50:ba:d5:4a:f4 brd ff:ff:ff:ff:ff:ff
cerbere:/home/francois#
Reply to: