我想识别源 IP 地址伪造的 UDP 或 TCP 数据包。我的猜测是,即使数据包是用具有 hping 的程序伪造的,MAC src 地址在所有伪造的数据包上仍然是相同的,这是正确的吗?
如果我的想法不正确,我如何识别这些被伪造的数据包,并且看起来每个数据包都有不同的来源?
谢谢。
最佳答案
MAC 地址也可以伪造。
使用 TCP,很容易识别/处理它。您将使用 SYN-ACK 回复伪造的 SYN 数据包。如果它是一个真正的客户端,它会回复一个 ACK 来完成握手。唯一需要注意的是,您必须实现同步 cookie,这样您就不会在等待 ACK 时创建状态和耗尽资源。
对于 UDP,没有办法知道,因为该协议(protocol)是无连接的。如果您向虚假数据包发送回复,则不能保证您会收到来自“真实”客户端的回复。因此无法识别假货。
关于networking - 识别假 UDP 数据包,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/8100865/