如何判断区分伪造IP地址或MAC地址的数据包和正常数据包

fg0000 · 发表于 2006-10-27 10:28:21

如何判断区分伪造IP地址或MAC地址的数据包和正常数据包

[ 本帖最后由超级版主于 2006-10-27 17:04 编辑 ]

天蓝 · 发表于 2006-10-27 11:15:33

见：http://csna.cn/forum.php?mod=viewthread&tid=2041

伪造的IP或MAC地址，一般都只有单向流量，（单向流量判断如下图）而且你可以看到其接收或发送的数据包都非常的少。

KelvinFu · 发表于 2006-10-27 12:03:06

原帖由 fg0000 于 2006-10-27 10:28 发表
如何判断区分伪造IP地址或MAC地址的数据包和正常数据包

应该结合实际情况吧!

比如网络有伪造地址,网络中莫名出现伪造地址,应该有攻击应为,然后根据着个来判断!结合你的自己平时纪录的内部主机的正确MAC地址,来判断!

如果直接就能区分是否伪造还是比较少的!还是有部分,比如下面就是ARP欺骗中的一个伪造地址信息:

编号相对时间源目标大小概要
245 0.000000 Giga-byte Tech:AA:0D:04 FF:FF:FF:FF:FF:FF 64 0.136.136.16 在 00:20:ED:AA:0D:05

这是典型的ARP攻击软件的自发包，无实际网络意义，目的是造成一次断网，AA:0D:04 ，AA:0D:05；0.136.136.16， 1.136.136.16 都是虚拟的，但比较有规律。

[ 本帖最后由 KelvinFu 于 2006-10-27 12:11 编辑 ]

fg0000 · 发表于 2006-10-27 12:26:11

通过IP头里的TTL比较也行吗?

lingyungong79 · 发表于 2006-10-27 15:16:28

理解了一点，继续~

xyzl6508066 · 发表于 2006-10-27 15:59:20

172.16.4.15和172.16.2.105两个IP地址是我处的内部地址,它们一直处于接收数据状态,而没有发送过数据,能不能通过此判断两个IP地址的主机有故障.
谢谢,以下为两个图

xyzl6508066 · 发表于 2006-10-27 16:00:39

图2如下,请判断一下,谢谢

fg0000 · 发表于 2006-10-27 16:58:04

搞错了,将该主题移至讨论区

wwwang · 发表于 2006-10-27 17:01:00

原帖由 fg0000 于 2006-10-27 16:58 发表
搞错了,将该主题移至讨论区

讨论区???哪里?
晕*%^&$#

如何判断区分伪造IP地址或MAC地址的数据包和正常数据包

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

讨论区???