我想识别源IP地址伪造的UDP或TCP数据包。我的猜测是,即使数据包伪造有hping的程序,MAC src地址在所有伪造的数据包上仍然是相同的,这是正确的吗?
如果我的想法不正确,我如何识别这些伪造的数据包,看起来每个数据包的来源不同?
感谢。
答案 0 :(得分:3)
MAC地址也可以伪造。
使用TCP,它易于识别/处理。您将使用SYN-ACK回复假的SYN数据包。如果它是真正的客户端,它将回复ACK以完成握手。唯一需要注意的是,您必须实施syn-cookies,这样才不会创建状态&在等待ACK时耗尽资源。
使用UDP,无法知道,因为协议是无连接的。如果您发送对假数据包的回复,则无法保证“真实”客户端的响应。所以没有办法找出假的。
答案 1 :(得分:2)
我看到它的方式,UDP和TCP与此无关。您只谈论第2层(MAC)和第3层(IP)。即便如此,你也无从知晓,因为源MAC地址应该是最接近收件人的路由器(假设数据包不是来自你的子网)。所以你应该看到相同的MAC地址对于大多数人来说入站数据包(同样,仅限互联网流量)。
现在有像p0f这样的分析工具可以处理数据包的签名,你可以根据这些信息尝试做一些启发式算法,但是没有任何具体的结构可以确定。
答案 2 :(得分:1)
您可以从数据包中获取最近节点的MAC地址。是的,您可以将ACK数据包发送到虚假源地址(IP),然后使用Traceroute命令知道源数据包的路径,以便您至少可以找到原始数据的位置。它在TCP中运行良好,您也可以得到确认。