Promiscuous mode

Promiscuous mode (traduit de temps en temps en « mode promiscuité »), en informatique, se réfère à une configuration de la carte réseau, qui permet à celle-ci d'accepter tous les paquets qu'elle reçoit, même si ceux-ci ne lui sont pas adressés.

Ce mode est une fonctionnalité généralement utilisée pour écouter le trafic réseau.

Chaque paquet réseau envoyé inclut l'adresse (adresse MAC) de la carte réseau destinataire. Quand une carte réseau voit passer un paquet, elle vérifie si elle est la destinataire du paquet ; si elle ne l'est pas, elle ne tient pas compte du paquet ; mais en mode promiscuous, elle traite le paquet dans tous les cas, permettant ainsi à l'ordinateur de pouvoir lire tous les paquets.

Un nœud de réseau qui ne fait pas de routage et qui est en mode promiscuous peut généralement seulement voir le trafic réseau vers et en provenance des autres nœuds à l'intérieur du même domaine de collision (pour Ethernet et Wi-Fi) ou anneau (pour Token-Ring ou FDDI). L'exemple typique est un ensemble d'ordinateurs connectés au même concentrateur. Les commutateurs réseau sont utilisés pour combattre l'usage du mode promiscuous.

La plupart des systèmes d'exploitation requièrent que l'utilisateur dispose de privilèges avancés pour qu'il puisse activer le mode promiscuité.

Le mode promiscuous est souvent employé pour diagnostiquer des problèmes de connectivité réseau. Il existe des programmes (sniffeurs ou outils de statistiques) qui utilisent ce mode pour décoder et montrer tout le trafic du réseau à l'administrateur qui les exécute. Par exemple, des programmes comme ftp ou telnet transmettent toutes les données (mot de passe, commandes, contenus) en clair (sans chiffrement) et donc les programmes d'écoute peuvent très facilement les reproduire à l'écran. Pour éviter cela, on peut utiliser le chiffrement des applications (ssh au lieu de telnet par exemple) ou de tout ce qui transite sur le réseau (IPsec).

Modification manuelle

Sous GNU/Linux

Activation :

ifconfig eth0 promisc

Désactivation :

ifconfig eth0 -promisc

Détection

Comme le mode promiscuité peut être utilisé à des fins malveillantes, il est intéressant de savoir détecter les machines réseau fonctionnant dans ce mode. Il y a deux méthodes pour y arriver :

1. Si une machine réseau est en mode promiscuité, le noyau va recevoir tout le trafic réseau, c'est-à-dire que la charge du processeur va augmenter. Ainsi la latence des réponses réseau va augmenter, ce qui peut être détecté.
2. En mode promiscuité, des logiciels peuvent répondre à des paquets quand bien même ils étaient destinés à une autre machine. Si on voit de telles réponses, on peut être certain que la machine qui les a envoyés est en mode promiscuité. Cependant, des utilisateurs expérimentés de logiciels d'écoute réseau peuvent parer à cela (par exemple en configurant avec attention le pare-feu). Un exemple typique est l'envoi d'un ping (ICMP echo request) avec la mauvaise adresse MAC mais la bonne adresse IP. Si le pare-feu bloque tout trafic ICMP, il n'y aura pas de réponse transmise sur le réseau.

Programmes qui utilisent ou peuvent utiliser ce mode

• Aircrack
• Cain & Abel
• dSniff
• KisMAC
• Kismet
• Ntop
• PRTG
• snoop
• tcpdump
• Wireshark
• Ettercap NG

Dans le contexte d'utilisation de technologies de virtualisation, l'utilisation du "promiscuous mode" permet aussi de réaliser un pont virtuel, réalisant la jonction entre le réseau réel, auquel l'interface physique est connectée, et le réseau privé virtuel logiciel entre les machines virtuelles de l'hôte, quand celui-ci n'est pas configuré pour offrir des interfaces privatives aux invités.

Voir aussi

• Packet sniffer
• mirroring de ports (sur un commutateur réseau)
• routeur
• détection de carte en Promiscuous avec detectpromisc