Messages "promiscuous mode" entered & left : dans logs

Bonjour à tous !

Pourriez-vous me dire ce qui pourrait provoquer des messages “promiscuous mode” sur un serveur debian
6.0.3
2.6.35.8-1ikl

• Est-ce que ce message pourrait être provoqué par quelque chose qui aurait infiltré le serveur, qui l’exploiterait, ou tenterait de l’exploiter ?
• Y aurait-il des choses à vérifier et de quelle manière ?

Merci

Sep 21 18:10:14 xxxxxx kernel: device eth0 entered promiscuous mode
Sep 21 18:10:22 xxxxxx kernel: device eth0 left promiscuous mode
Sep 21 18:15:12 xxxxxx kernel: device eth0 entered promiscuous mode
Sep 21 18:15:20 xxxxxx kernel: device eth0 left promiscuous mode
Sep 21 18:20:17 xxxxxx kernel: device eth0 entered promiscuous mode
Sep 21 18:20:25 xxxxxx kernel: device eth0 left promiscuous mode
Sep 21 18:25:12 xxxxxx kernel: device eth0 entered promiscuous mode
Sep 21 18:25:20 xxxxxx kernel: device eth0 left promiscuous mode
Sep 21 18:30:14 xxxxxx kernel: device eth0 entered promiscuous mode
Sep 21 18:30:22 xxxxxx kernel: device eth0 left promiscuous mode
Sep 21 18:35:13 xxxxxx kernel: device eth0 entered promiscuous mode
Sep 21 18:35:21 xxxxxx kernel: device eth0 left promiscuous mode
Sep 21 18:40:14 xxxxxx kernel: device eth0 entered promiscuous mode
Sep 21 18:40:22 xxxxxx kernel: device eth0 left promiscuous mode
Sep 21 18:45:13 xxxxxx kernel: device eth0 entered promiscuous mode
Sep 21 18:45:21 xxxxxx kernel: device eth0 left promiscuous mode
Sep 21 18:50:14 xxxxxx kernel: device eth0 entered promiscuous mode
Sep 21 18:50:22 xxxxxx kernel: device eth0 left promiscuous mode
Sep 21 18:55:12 xxxxxx kernel: device eth0 entered promiscuous mode
Sep 21 18:55:20 xxxxxx kernel: device eth0 left promiscuous mode
Sep 21 19:00:14 xxxxxx kernel: device eth0 entered promiscuous mode
Sep 21 19:00:22 xxxxxx kernel: device eth0 left promiscuous mode
Sep 21 19:05:13 xxxxxx kernel: device eth0 entered promiscuous mode
Sep 21 19:05:21 xxxxxx kernel: device eth0 left promiscuous mode
Sep 21 19:10:14 xxxxxx kernel: device eth0 entered promiscuous mode
Sep 21 19:10:21 xxxxxx kernel: device eth0 left promiscuous mode
Sep 21 19:15:12 xxxxxx kernel: device eth0 entered promiscuous mode
Sep 21 19:15:20 xxxxxx kernel: device eth0 left promiscuous mode
Sep 21 19:20:14 xxxxxx kernel: device eth0 entered promiscuous mode
Sep 21 19:20:21 xxxxxx kernel: device eth0 left promiscuous mode
Sep 21 19:25:13 xxxxxx kernel: device eth0 entered promiscuous mode
Sep 21 19:25:21 xxxxxx kernel: device eth0 left promiscuous mode
Sep 21 19:30:12 xxxxxx kernel: device eth0 entered promiscuous mode
Sep 21 19:30:20 xxxxxx kernel: device eth0 left promiscuous mode

As-tu utilisé tcpdump sur ce serveur ? Il a besoin de passer l’interface en promiscuous mode pour pouvoir capturer les paquets. Le kernel renvoie alors ce message dans les logs.

En fait [mono]tcpdump[/mono] n’a pas besoin de passer l’interface sur laquelle il écoute en mode “promiscuous”. On peut l’en empêcher avec l’option [mono]-p[/mono]. Il le fait par défaut parce que cela permet de capturer les paquets reçus mais non destinés à une adresse MAC de la machine, qui seraient normalement filtrés par l’interface réseau. De tels paquets sont normalement plutôt rares en unicast dans un réseau ethernet commuté puisqu’un switch aiguille les paquets sur tel ou tel port en fonction de l’adresse MAC de destination), mais cela peut concerner les paquets de groupes multicast auxquels l’interface n’est pas abonnée si le switch ne gère pas ce type de trafic et le traite comme du broadcast.

Merci pour vos réponses

• Je n’ai rien changé au serveur, ni à mes réglages depuis un bon moment.

• Je précise que le serveur Debian concerné, est un serveur dédié hébergé chez une société spécialisée ; mais les applications ajoutées dessus ainsi que ses réglages : sont de ma responsabilité.

• J’ai un peu évoqué le sujet avec la société qui héberge le serveur dédié, j’avais demandé qu’ils vérifient s’ils ne voyaient rien d’anormal au niveau des flux réseau. En lisant leurs réponses, je me suis dit que je me devais de trouver des réponses plus solides auprès de personnes bien plus compétentes que moi, c’est pour cela que je me suis permis de poser la question ici.

Vous avez raison concernant le lien avec “tcpdump”, il va peut-être y avoir quelque chose à corriger à ce sujet, je suis preneur de toutes suggestions. Je vais expliquer pourquoi tcpdump est utilisé.

Effectivement j’utilise un script “getstatus_ban V1.8” qui est appelé régulièrement par Cron, et qui utilise tcpdump.

http://www.et-zone.de/downloads/?action=download&id=14

[quote]Le jeu Wolfenstein Enemy Territory qui est Open Source : avait une sensibilité importante concernant le flood UDP : les serveurs de jeux pouvaient être utilisés pour flooder d’autres serveurs en falsifiant les adresses d’envoi des paquets UDP. En plus cela faisait lagger les serveurs de jeux qui pouvaient devenir injouables pour les joueurs.

Finalement des puristes ont pu produire des versions patchées des exécutables de Wolfenstein Enemy Territory, ainsi que le script “getstatus_ban V1.8” qui permet d’ajouter une barrière supplémentaire. Tous ceux qui proposent des serveurs de jeux Wolfenstein Enemy Territory sont clairement informés, de la nécessité d’apporter ces corrections !

Donc, “getstatus_ban V1.8” est un script qui vise à limiter “le flood-UDP”. Il ajoute automatiquement une IP qui fait du flood, pour la bannir automatiquement dans UFW. Une fois le flood terminé, l’adresse IP est automatiquement retirée.[/quote]

Les messages relatifs au “promiscuous mode entered” & “promiscuous mode left” n’apparaissaient dans les logs que depuis quelques Semaines.

Selon ce que vous dites j’en viens à supposer, que “ces paquets spéciaux” qui arriveraient, sont peut-être utilisés pour tenter de perturber le fonctionnement des jeux Wolfenstein Enemy Territory, ainsi que peut-être aussi pour tenter de perturber le fonctionnement de serveurs Apache ; par exemple en forçant le serveur à consommer de la bande passante.
Pour ma part j’ai un forfait, et l’hébergeur ne semble pas trop s’inquiéter à ce sujet, vu que c’est un forfait. Pour autant ce n’est pas une solution de laisser faire.

Ainsi je me demande s’il ne faudrait pas apporter des modifications pour limiter ces possibles nouvelles tentatives de flood ou de consommation de bande passante.

Est-ce que bloquer l’arrivée “d’éventuels paquets spéciaux non-désirés” pourrait se faire :

• concernant des paramètres du Système Debian ?
• concernant des paramètres du Firewall UFW ?
• concernant une modification du Script “getstatus_ban V1.8” ?
• Est-ce aussi à l’hébergeur de faire quelque chose ?
  (Je suppose qu’ils laissent volontairement arriver presque tous les paquets, pour ne pas limiter les possibilités d’utilisation des serveurs dédiés.)

Merci beaucoup !

Pendant 8 secondes toutes les 15 minutes, d’après les logs. Si [mono]tcpdump[/mono] est exécuté sans l’option [mono]-p[/mono], alors ces messages sont normaux. Si je comprends bien, les paquets UDP à examiner sont destinés à la machine, donc le mode promiscuous est inutile.