如何判断区分伪造IP地址或MAC地址的数据包和正常数据包
如何判断区分伪造IP地址或MAC地址的数据包和正常数据包[ 本帖最后由 超级版主 于 2006-10-27 17:04 编辑 ] 见:http://csna.cn/forum.php?mod=viewthread&tid=2041
伪造的IP或MAC地址,一般都只有单向流量,(单向流量判断如下图)而且你可以看到其接收或发送的数据包都非常的少。 原帖由 fg0000 于 2006-10-27 10:28 发表
如何判断区分伪造IP地址或MAC地址的数据包和正常数据包
应该结合实际情况吧!
比如网络有伪造地址,网络中莫名出现伪造地址,应该有攻击应为,然后根据着个来判断!结合你的自己平时纪录的内部主机的正确MAC地址,来判断!
如果直接就能区分是否伪造还是比较少的!还是有部分,比如下面就是ARP欺骗中的一个伪造地址信息:
编号 相对时间 源 目标 大小 概要
245 0.000000 Giga-byte Tech:AA:0D:04 FF:FF:FF:FF:FF:FF 64 0.136.136.16 在 00:20:ED:AA:0D:05
这是典型的ARP攻击软件的自发包,无实际网络意义,目的是造成一次断网,AA:0D:04 ,AA:0D:05;0.136.136.16, 1.136.136.16 都是虚拟的,但比较有规律。
[ 本帖最后由 KelvinFu 于 2006-10-27 12:11 编辑 ] 通过IP头里的TTL比较也行吗? :)理解了一点,继续~ 172.16.4.15和172.16.2.105两个IP地址是我处的内部地址,它们一直处于接收数据状态,而没有发送过数据,能不能通过此判断两个IP地址的主机有故障.
谢谢,以下为两个图 图2如下,请判断一下,谢谢 搞错了,将该主题移至讨论区
讨论区???
原帖由 fg0000 于 2006-10-27 16:58 发表搞错了,将该主题移至讨论区
讨论区???哪里?
晕*%^&$#
页:
[1]