2
我想识别伪造源IP地址的UDP或TCP数据包。我的猜测是,即使数据包伪造了一个类似hping的程序,MAC src地址在所有伪造的数据包中仍然是相同的,这是正确的吗?识别伪造的UDP数据包
如果我的想法是不正确的,我怎么能确定被伪造和看起来像它具有为每个分组的不同来源,例如包?
谢谢。
A
回答
3
MAC地址也可以伪造。
有了TCP,它很容易识别/处理这个。您将用SYN-ACK回复伪造的SYN数据包。如果它是一个真正的客户端,它会回复一个ACK来完成握手。唯一需要注意的是,您必须实施syn-cookies,以便在等待ACK时不会创建状态&耗尽资源。
使用UDP,也没有办法知道,因为该协议是无连接的。如果您发送了对虚假数据包的回复,则无法保证来自“真实”客户端的回复。所以没有办法确定一个假的。
2
我看到它的方式,UDP和TCP无关与此有关。你只谈论第2层(MAC)和第3层(IP)。即使如此,你也无法知道,因为源MAC地址应该是距离接收者最近的路由器的源MAC地址(假设该数据包不是源自你的子网)。所以你应该看到大多数所有的MAC地址入站数据包(仅限于互联网流量)。
现在有分析工具一样p0f上的数据包的签名工作,你可以尝试做基于该信息的一些启发,但没有很浇筑可确定。
1
从数据包中可以得到最近节点的MAC地址。是的,您可以将ACK数据包发送到伪造的源地址(IP),然后使用Traceroute命令知道源数据包的路径,以便您至少可以找到始发的位置。它在TCP中运行良好,您也可以确认。
相关问题
- 1. 在PHP中编写UDP数据包伪造文件
- 2. 如何识别接入点中UDP数据包的来源?
- 3. 捕获,伪造和注入数据包
- 4. 用python接收UDP数据包,造成数据包丢失
- 5. 识别组数据包?
- 6. 伪造包发送
- 7. 系统如何识别接收到的数据包是TCP还是UDP?
- 8. 有没有不能伪造的机器人识别码?
- 9. UDP数据包NPE - Java的
- 10. 小数据包的UDP流
- 11. 的AsyncTask和UDP数据包
- 12. UDP数据包的排序
- 13. 如何构造这个UDP协议的数据包?
- 14. CSRF - 伪造的POST可以包含任意数据吗?
- 15. 识别和丢弃SSL数据包
- 16. 识别USB设置数据包
- 17. 发送UDP数据包gopacket
- 18. 解析UDP数据包
- 19. UDP发送数据包failling
- 20. “Lost”UDP数据包(JBoss + DatagramSocket)
- 21. udp数据包丢失
- 22. 加密UDP数据包
- 23. Android udp数据包丢失
- 24. UDP数据包到类
- 25. 结合UDP数据包?
- 26. UDP数据包误启动
- 27. 分裂UDP数据包
- 28. Linux丢弃UDP数据包
- 29. 数据包损坏和UDP
- 30. 50%udp数据包丢失
是的,它的IP层是肯定的,但是您能否提供一些关于这些工具如何描述数据以识别的信息?也许检查数据包的数量并查看与数据包相比,源地址数量与源数量之间的比率和检查比率? –