Re: Suis je sniffer?

To: Jean-Michel OLTRA <jm.oltra.antispam@espinasse.net>
Cc: debian-user-french@lists.debian.org
Subject: Re: Suis je sniffer?
From: François Boisson <user.anti-spam@maison.homelinux.net>
Date: Wed, 14 Jan 2004 18:00:52 +0100
Message-id: <[🔎] 20040114180052.10bcf97f.user.anti-spam@maison.homelinux.net>
In-reply-to: <[🔎] 20040114105057.GA24573@espinasse>
References: <[🔎] 4005026F.6080702@nerim.fr> <[🔎] 20040114091550.GA24099@espinasse> <[🔎] 4005147F.7040206@nerim.fr> <[🔎] 20040114105057.GA24573@espinasse>

On Wed, 14 Jan 2004 11:50:57 +0100
Jean-Michel OLTRA <jm.oltra.antispam@espinasse.net> wrote:

> Le reste, 'no packet sniffer sockets', si mon angliche est convenable,
> signifie(rait) que chkrootkit n'a pas trouvé de socket qui pourrait
> indiquer la présence d'un sniffer (il faut bien que le sniffer
> retransmette ce qu'il renifle -j'aime pas tellement sniffer, comme
> verbe.-).
> 
> Cependant il y a eu un fil de discussion sur la liste concernant
> chkrootkit et le mode promiscuous. C'était pas F. Boisson qui l'avait
> initié et qui pourrait nous rafraîchir la mémoire ?

C'était..
Sur ce problème précis, chkrootkit peut rater une interface en mode
promiscuous (il suffit de faire un tcpdump et de lancer chkrootkit en même
temps, il ne voit pas l'interface en mode promiscuous de même que
ifconfig). Par contre la commande "ip link" affiche l'ensemble des
interfaces et leur état (mode promiscuous ou non).


François Boisson

cerbere:/home/francois# tcpdump > /dev/null 2> /dev/null &
cerbere:/home/francois# ip link
1: lo: <LOOPBACK,UP> mtu 16436 qdisc noqueue 
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
2: teql0: <NOARP> mtu 1500 qdisc noop qlen 100
    link/void 
3: eth0: <BROADCAST,MULTICAST,PROMISC,UP> mtu 1500 qdisc pfifo_fast qlen
100    link/ether 00:e0:7d:e2:1b:e8 brd ff:ff:ff:ff:ff:ff
4: eth1: <BROADCAST,UP> mtu 1500 qdisc htb qlen 30
    link/ether 00:50:ba:d5:4a:f4 brd ff:ff:ff:ff:ff:ff
cerbere:/home/francois# ifconfig eth0
eth0      Lien encap:Ethernet  HWaddr 00:E0:7D:E2:1B:E8  
          inet adr:192.168.1.251  Bcast:192.168.1.255 
Masque:255.255.255.0          UP BROADCAST RUNNING MULTICAST  MTU:1500 
Metric:1          RX packets:5416117 errors:0 dropped:0 overruns:0 frame:0
          TX packets:5156508 errors:0 dropped:0 overruns:0 carrier:0
          collisions:179762 lg file transmission:100 
          RX bytes:509556562 (485.9 MiB)  TX bytes:2989720578 (2.7 GiB)
          Interruption:11 
cerbere:/home/francois# chkrootkit 
ROOTDIR is `/'
Checking `amd'... not found
Checking `basename'... not infected
...
Checking `sniffer'... 
eth0 is not promisc
eth1 is not promisc
Checking `wted'... nothing deleted
Checking `w55808'... not infected
...
cerbere:/home/francois# killall tcpdump
cerbere:/home/francois# ip link     
1: lo: <LOOPBACK,UP> mtu 16436 qdisc noqueue 
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
2: teql0: <NOARP> mtu 1500 qdisc noop qlen 100
    link/void 
3: eth0: <BROADCAST,MULTICAST,UP> mtu 1500 qdisc pfifo_fast qlen 100
    link/ether 00:e0:7d:e2:1b:e8 brd ff:ff:ff:ff:ff:ff
4: eth1: <BROADCAST,UP> mtu 1500 qdisc htb qlen 30
    link/ether 00:50:ba:d5:4a:f4 brd ff:ff:ff:ff:ff:ff
cerbere:/home/francois#

Reply to:

References:
- Suis je sniffer?
  - From: kim <kimbo@nerim.fr>
- Re: Suis je sniffer?
  - From: Jean-Michel OLTRA <jm.oltra.antispam@espinasse.net>
- Re: Suis je sniffer?
  - From: kim <kimbo@nerim.fr>
- Re: Suis je sniffer?
  - From: Jean-Michel OLTRA <jm.oltra.antispam@espinasse.net>

Prev by Date: Re: creer son package debian
Next by Date: Re: Autocomplétion dans apt-get
Previous by thread: Re: Suis je sniffer?
Next by thread: crontab
Index(es):
- Date
- Thread