Modo promíscuo
Em redes de computadores, o modo promíscuo (ou comunicação promíscua) é um modo para um controlador de interface de rede com fio (NIC) ou um controlador de interface de rede sem fio (WNIC) que faz com que o controlador repasse todo o tráfego que recebe para a unidade central de processamento (CPU), em vez de passar apenas os quadros (frames) que o controlador está especificamente programado para receber. Esse modo é normalmente usado para análise de pacotes que ocorrem em um roteador ou em um computador conectado a uma rede cabeada ou fazendo parte de uma LAN sem fio. As interfaces são colocadas no modo promíscuo por pontes de software frequentemente usadas com a virtualização de hardware.
Nas redes IEEE 802, como Ethernet ou IEEE 802.11, cada quadro inclui um endereço MAC de destino. No modo não promíscuo, quando uma NIC recebe um quadro, ela o descarta, a menos que o quadro seja endereçado ao endereço MAC dessa NIC ou seja um quadro de broadcast ou multicast. No modo promíscuo, no entanto, a NIC permite a passagem de todos os quadros, permitindo que o computador leia os quadros destinados a outras máquinas ou dispositivos de rede.
Muitos sistemas operacionais exigem privilégios de superusuário para ativar o modo promíscuo. Um nó sem roteamento no modo promíscuo geralmente apenas monitora o tráfego de e para outros nós no mesmo domínio de broadcast (para Ethernet e IEEE 802.11) ou anel (para token ring). Os computadores conectados ao mesmo hub Ethernet atendem a esse requisito, e é por isso que os comutadores de rede são usados para combater o uso mal-intencionado do modo promíscuo. Um roteador pode monitorar todo o tráfego que ele rotear.
O modo promíscuo é frequentemente usado para diagnosticar problemas de conectividade de rede. Existem programas que usam esse recurso para mostrar ao usuário todos os dados que estão sendo transferidos pela rede. Alguns protocolos como FTP e Telnet transferem dados e senhas em texto não criptografado, sem criptografia, e os scanners de rede podem ver esses dados. Portanto, os usuários de computador são incentivados a ficar longe de protocolos inseguros como o telnet e a usar protocolos mais seguros, como o SSH.
Detecção
editarUma vez que o modo promíscuo pode ser usado de maneira maliciosa para capturar dados privados em trânsito em uma rede, os profissionais de segurança de computadores podem estar interessados em detectar dispositivos de rede que estão no modo promíscuo. No modo promíscuo, alguns softwares podem enviar respostas aos quadros, mesmo que tenham sido endereçados a outra máquina. No entanto, sniffers experientes podem impedir isso (por exemplo, usando configurações de firewall cuidadosamente projetadas). Um exemplo é o envio de um ping (solicitação de eco ICMP) com o endereço MAC errado, mas com o endereço IP correto. Se um adaptador estiver operando no modo normal, ele eliminará esse quadro e a pilha IP nunca o verá ou responderá a ele. Se o adaptador estiver no modo promíscuo, o quadro será transmitido e a pilha IP na máquina (para a qual um endereço MAC não tem significado) responderá, como faria com qualquer outro ping.[1] O sniffer pode impedir isso configurando um firewall para bloquear o tráfego ICMP.
Ver também
editarReferências
- ↑ Sniffers: Basics and Detection (PDF), consultado em 13 de outubro de 2017