刚刚在网上下了个UDP攻击器测试了下,请大家分析下工程文件

baiyang · 发表于 2008-10-21 13:00:12

刚刚在网上下了个UDP攻击器测试了下,请大家分析下工程文件

我分析不出测试的这台机器,万一那天真有人用这个攻击我的话就束手无策了,所以请高人教教我如何分析法

我看了下好像跟我这个贴子类型一样,UDP协译太大http://www.csna.cn/forum.php?mod ... &extra=page%3D1

到现在都没找到原因

baiyang · 发表于 2008-10-21 13:12:26

版主呀,我分析了一下,测试的那台机器全是伪造的IP攻击,我测试是机器是192.168.1.247被攻击是192.168.1.249

192.168.1.247>>>>攻击>>>>>>>>>192.168.1.249

分析不出192.168.1.247,全是伪造IP

[ 本帖最后由 baiyang 于 2008-10-21 13:19 编辑 ]

pctemplar · 发表于 2008-10-21 14:33:21

下面是你的网关IP/MAC吗?
IP 192.168.1.254
MAC 00:17:16:00:C2:49

楼主用的哪个UDP攻击器,能不能传给我试试!
QQ 87837676

[ 本帖最后由 pctemplar 于 2008-10-21 17:52 编辑 ]

oldjiang · 发表于 2008-10-21 21:26:19

1、从netstat -nao -p udp 来看，正常情况下一个主机侦听的UDP端口数量很少
2、如果向主机未侦听的UDP端口发包，应该会返回ICMP端口不可达，在诊断视图可见
3、定位249这个机器，看UDP会话，本地端口很多，而ICMP不可达很少
3、导出导入数据包，过滤器，目标为249的UDP包，16秒3582个，每秒200多个包；如果是攻击的话，每秒应该有成千上万个包吧；源mac全是网关的mac，应该是从外网来的
4、如果发包伪造网关的mac，那就是欺骗交换机了，参考http://www.csna.cn/forum.php?mod=viewthread&tid=8747、http://www.csna.cn/forum.php?mod=viewthread&tid=8749，针对这种情况，可以在交换机的上联端口绑定网关的mac，前提是交换机支持
5、如果真是攻击，那目标也是一些有价值的机器，部署不同，不一定能抓到包

oldjiang · 发表于 2008-10-21 21:32:16

从局域网内发起攻击，即使IP和MAC都是伪造的，通过查交换机mac地址表也能找到发包的机器，不过网吧的二级交换机很少是可管理的，此时只能拔线折半查找了。

oldjiang · 发表于 2008-10-21 21:35:40

重复一次这个实验，同时看看249的UDP会话端口对应什么进程，参考http://www.csna.cn/forum.php?mod=viewthread&tid=9417的2#

刚刚在网上下了个UDP攻击器测试了下,请大家分析下工程文件

本帖子中包含更多资源