MACアドレスが不明な端末からの接続を検出

Linuxマシンでルータ機能を使っています．
そのLinuxマシンにハブで数台のクライアントをつなぎ，
インターネットに接続しています．

ログを見たところ，

dhcpd: DHCPINFORM from 192.168.1.187 via eth1
dhcpd: DHCPACK to 192.168.1.187 (<no client hardware address>) via eth1
kernel: eth0: Promiscuous mode enabled.
kernel: device eth0 entered promiscuous mode
kernel: device eth0 left promiscuous mode
kernel: eth1: Promiscuous mode enabled.
kernel: device eth1 entered promiscuous mode
kernel: device eth1 left promiscuous mode

このようにMACアドレスが不明と出てしまいました．
このIPを調べたところ，以前から問題なく使ってるPCで，
インターネットにもちゃんと接続できています．
しかも，5分くらい前のログではきちんと

dhcpd:DHCPREQUEST for 192.168.1.187 from MACアドレス (コンピュータ名) via eth1
dhcpd:DHCPACK on 192.168.1.187 to MACアドレス (コンピュータ名) via eth1

と正常です．MACアドレス不明のメッセージが出てから20分後のログでは正常に
戻っていました．

それと，普段見られない以下のログが出ていました．
kernel: eth0: Promiscuous mode enabled.
kernel: device eth0 entered promiscuous mode
kernel: device eth0 left promiscuous mode
kernel: eth1: Promiscuous mode enabled.
kernel: device eth1 entered promiscuous mode
kernel: device eth1 left promiscuous mode

kernel: dhcpd: Wrote 21 leases to leases file.
kernel: eth0: Promiscuous mode enabled.
kernel: device eth0 entered promiscuous mode


ちなみに，無線機能はなし，不審なPCは接続ありません．
どのような状況なのか教えていただけませんでしょうか．
よろしくお願いします．

No.1 回答者： chirubou 回答日時： 2006/10/07 00:47

kernel: eth0: Promiscuous mode enabled.

kernel: device eth0 entered promiscuous mode

ですが、tcpdump を使うとこうなります。tcpdump はそのマシンにやって来た全てのパケットを表示するコマンドです。man tcpdumpで詳細が分かると思います。

これができるということは、raw モードで任意のパケットを作ることができますので、MACアドレスが不明のパケットも作ることが、プログラムを組めば、可能です。

普通はそのマシンに到達するはずのパケットしか受け取らないモードになっているのですが、promiscuous mode にすると、そのマシンが受け取ることができる全てのパケットを受け取るようになります。tcpdump コマンドはこれを利用して、パケットのモニタリングをしています。

不正なMACアドレスのパケットがある、というのはかなり異常な状態だと思います。Promisc mode にするとそのネットワークセグメントのパケットを「盗聴」することができるので、悪意のあるプログラムが走っていて、パケットを盗聴している可能性があるかもしれません。もし tcpdump を使っているユーザがいないのであれば、調べてみるべきだと思います。