2
我想識別僞造源IP地址的UDP或TCP數據包。我的猜測是,即使數據包僞造了一個類似hping的程序,MAC src地址在所有僞造的數據包中仍然是相同的,這是正確的嗎?識別僞造的UDP數據包
如果我的想法是不正確的,我怎麼能確定被僞造和看起來像它具有爲每個分組的不同來源,例如包?
謝謝。
A
回答
3
MAC地址也可以僞造。
有了TCP,它很容易識別/處理這個。您將用SYN-ACK回覆僞造的SYN數據包。如果它是一個真正的客戶端,它會回覆一個ACK來完成握手。唯一需要注意的是,您必須實施syn-cookies,以便在等待ACK時不會創建狀態&耗盡資源。
使用UDP,也沒有辦法知道,因爲該協議是無連接的。如果您發送了對虛假數據包的回覆,則無法保證來自「真實」客戶端的回覆。所以沒有辦法確定一個假的。
2
我看到它的方式,UDP和TCP無關與此有關。你只談論第2層(MAC)和第3層(IP)。即使如此,你也無法知道,因爲源MAC地址應該是距離接收者最近的路由器的源MAC地址(假設該數據包不是源自你的子網)。所以你應該看到大多數所有的MAC地址入站數據包(僅限於互聯網流量)。
現在有分析工具一樣p0f上的數據包的簽名工作,你可以嘗試做基於該信息的一些啓發,但沒有很澆築可確定。
1
從數據包中可以得到最近節點的MAC地址。是的,您可以將ACK數據包發送到僞造的源地址(IP),然後使用Traceroute命令知道源數據包的路徑,以便您至少可以找到始發的位置。它在TCP中運行良好,您也可以確認。
相關問題
- 1. 在PHP中編寫UDP數據包僞造文件
- 2. 如何識別接入點中UDP數據包的來源?
- 3. 捕獲,僞造和注入數據包
- 4. 用python接收UDP數據包,造成數據包丟失
- 5. 識別組數據包?
- 6. 僞造包發送
- 7. 系統如何識別接收到的數據包是TCP還是UDP?
- 8. 有沒有不能僞造的機器人識別碼?
- 9. UDP數據包NPE - Java的
- 10. 小數據包的UDP流
- 11. 的AsyncTask和UDP數據包
- 12. UDP數據包的排序
- 13. 如何構造這個UDP協議的數據包?
- 14. CSRF - 僞造的POST可以包含任意數據嗎?
- 15. 識別和丟棄SSL數據包
- 16. 識別USB設置數據包
- 17. 發送UDP數據包gopacket
- 18. 解析UDP數據包
- 19. UDP發送數據包failling
- 20. 「Lost」UDP數據包(JBoss + DatagramSocket)
- 21. udp數據包丟失
- 22. 加密UDP數據包
- 23. Android udp數據包丟失
- 24. UDP數據包到類
- 25. 結合UDP數據包?
- 26. UDP數據包誤啓動
- 27. 分裂UDP數據包
- 28. Linux丟棄UDP數據包
- 29. 數據包損壞和UDP
- 30. 50%udp數據包丟失
是的,它的IP層是肯定的,但是您能否提供一些關於這些工具如何描述數據以識別的信息?也許檢查數據包的數量並查看與數據包相比,源地址數量與源數量之間的比率和檢查比率? –