2
원본 IP 주소가 위조 된 UDP 또는 TCP 패킷을 식별하고 싶습니다. 내 생각 엔 패킷이 hping 같은 프로그램으로 위조 된 경우에도 MAC src 주소는 위조 된 모든 패킷에서 여전히 동일합니다. 맞습니까?가짜 UDP 패킷 식별
제 아이디어가 정확하지 않은 경우, 각 패킷마다 다른 소스가있는 것처럼 보이는 위조 된 패킷을 어떻게 식별 할 수 있습니까?
감사합니다.
A
답변
3
MAC 주소도 위조 될 수 있습니다.
TCP를 사용하면 쉽게 식별하고 처리 할 수 있습니다. SYN-ACK로 가짜 SYN 패킷에 회신합니다. 실제 클라이언트라면 핸드 셰이크를 완료하기 위해 ACK로 응답합니다. 단,주의를 기울이면서 ACK를 기다리는 동안 & 상태를 생성하지 않도록 syn-cookies를 구현해야한다는 단점이 있습니다.
UDP를 사용하면 프로토콜이 연결이 없기 때문에 알 수있는 방법이 없습니다. 가짜 패킷에 대한 회신을 보내면 "실제"클라이언트의 응답을 보장 할 수는 없습니다. 따라서 위조 된 것을 식별 할 방법이 없습니다.
2
내가 보는 방식대로 UDP와 TCP는 아무 관련이 없습니다. 당신은 레이어 2 (MAC)와 레이어 3 (IP)에 대해서만 이야기하고 있습니다. 소스 MAC 주소는 수신자에게 가장 가까운 라우터의 패킷이어야하기 때문에 (패킷이 서브넷에서 생성되지 않았다는 가정하에) 알 수있는 방법이 없습니다. 따라서 모든 MAC 주소에 대해 동일한 MAC 주소가 표시되어야합니다 인바운드 패킷 (다시, 인터넷 트래픽 만).
이제는 패킷의 서명을 처리하는 p0f와 같은 프로파일 링 도구가 있습니다.이 정보를 기반으로 몇 가지 발견 적 방법을 시도해 볼 수는 있지만 매우 구체화 된 것은 없습니다.
1
패킷에서 가장 가까운 노드의 MAC 주소를 얻을 수 있습니다. 예, ACK 패킷을 가짜 소스 주소 (IP)로 보내고 Traceroute 명령을 사용하여 원본 패킷의 경로를 알 수 있으므로 원본 위치를 최소한으로 찾을 수 있습니다. 그것은 TCP에서 잘 작동하고 당신도 인정을받을 수 있습니다.
관련 문제
- 1. UDP 패킷 배열
- 2. 가짜 UDP 트래픽 만들기
- 3. UDP 패킷 읽기
- 4. 왜 UDP reoreder 패킷
- 5. UDP 패킷 결합?
- 6. 안드로이드에서 UDP 패킷 받기
- 7. udp 패킷 손실
- 8. UDP 패킷 암호화
- 9. 전체 UDP 패킷 수신
- 10. 헤더를 포함한 UDP 패킷
- 11. 소켓에서 다중 UDP 패킷
- 12. UDP 패킷 수신되지 않음
- 13. iPhone에서 UDP 패킷 수신
- 14. UDP 변형 패킷
- 15. 패킷 손상 및 UDP
- 16. C에서 UDP 패킷 수신
- 17. UDP 패킷 크기 및 패킷 손실
- 18. UDP 패킷 스푸핑을위한 원시 패킷 만들기
- 19. SSL 패킷 식별 및 삭제
- 20. 자바를 통해 UDP 패킷 보내기
- 21. udp 브로드 캐스트 패킷 수신
- 22. Quatz Composer의 UDP 패킷 버퍼
- 23. UDP 비디오 스트리밍을위한 패킷 순서
- 24. iOS 6에서 udp 패킷 보내기
- 25. 인터넷을 통해 UDP 패킷 보내기
- 26. Java UDP 패킷 크기 정렬
- 27. NAT 뒤에 기계에 Udp 패킷
- 28. 자바 전송 UDP 패킷 문제
- 29. 평균 UDP 패킷 손실 및 패킷 순서 재 지정
- 30. pcap_open_dead 전체 UDP 패킷 캡처 시뮬레이션
예, IP 레이어는 확실합니다.하지만 이러한 도구가 데이터를 식별하는 방법을 알려주는 데 도움이 될 수 있습니까? 아마도 패킷 양을 확인하고 소스 주소의 수와 패킷과 비교 한 소스의 수를 확인하십시오. –