promisc 모드에 대해

안녕하십니까?

리눅스서버보안관리실무(http://superuser.co.kr/linuxsecurityadmin/) 저자 홍석범입니다.

먼저, promiscuous모드의 경우 공격자 입장에서 sniffing 을 작동시 변경되는 모드인데, 이렇게 구성할 경우 패킷의 목적지 mac이 해당 시스템의 정보와 같지 않아도 해당 패킷을 받아들이고 상위 layer로 전달하게 됩니다. 하지만, 단순히 tcpdump를 실행해도 아래와 같은 메시지가 보이게 되므로  반드시 공격의 징후라고 확신할 수는 없으며. 혹 해당 시간대에 네트워크 모니터링등을 위해 tcpdump나 관련 프로그램을 사용하지 않으셨는지 확인해 보시기 바랍니다.

아울러 mqueue에 있는 파일들은 여러가지 가능성이 있습니다. 단순히 내부에서 외부로 보내기 위해 임시로 저장되어 있는 경우도 있고 내부의 메일 계정들이 쿼터(quota)가 걸려있을 경우 용량이 초과된 메일들이 저장되어 있는 경우도 있습니다. 따라서 어떤 용도의 메일인지 확인해 보시기 바랍니다. 일단 위의 promiscuous 모드와 /var/spool/mqueue의 파일이 많은 것은 직접적으로 관련은 없습니다.

답변이 되셨는지요?

감사합니다.