登录
CSNA会员注册
找回密码
搜索
搜索
本版
用户
CSNA网络分析论坛
»
首页
›
流量分析
›
网络分析
›
如何查看攻击者在内网虚拟出来的IP的源头在那? ...
返回列表
发帖
查看:
4131
|
回复:
11
如何查看攻击者在内网虚拟出来的IP的源头在那?
[复制链接]
逍遥一指令
逍遥一指令
当前离线
积分
5
发表于 2006-12-6 02:34:44
|
显示全部楼层
|
阅读模式
比如攻击者在内网中虚拟了一个IP 192.168.0.123 出来
但是在内网中却无法找到 192.168.0.123 这台机器,同时本内网中也根本就不存在 192.168.0.123 这么一个IP
请问各位兄弟,这个时候如何用
科来
来定位这个虚拟出来的IP的源头在那呢?
回复
使用道具
举报
sbyguli
sbyguli
当前离线
积分
0
发表于 2006-12-6 07:37:59
|
显示全部楼层
帮你顶啊!偶也想知道呢!
回复
使用道具
举报
caidaowang
caidaowang
当前离线
积分
1
发表于 2006-12-6 08:40:58
|
显示全部楼层
从数据包中分析
从收发数据包中找出它的mac地址,mac地址才是网卡的真正标志。
评分
1
查看全部评分
菜鸟人飞
回复
使用道具
举报
菜鸟人飞
菜鸟人飞
当前离线
积分
172
发表于 2006-12-6 09:05:27
|
显示全部楼层
是的,楼上所言及是,通过查MAC找出真正的元凶。
回复
使用道具
举报
java-g
java-g
当前离线
积分
1
发表于 2006-12-6 09:27:08
|
显示全部楼层
从收发数据包中找出它的mac地址,mac地址才是网卡的真正标志
学习了
回复
使用道具
举报
逍遥一指令
逍遥一指令
当前离线
积分
5
楼主
|
发表于 2006-12-6 10:22:46
|
显示全部楼层
但是这个时候查到的MAC地址是否也是伪造的呢?
回复
使用道具
举报
iwanthome
iwanthome
当前离线
积分
2
发表于 2006-12-6 10:32:39
|
显示全部楼层
很多种情况,如果在局域网里好办,通过MAC可以看到凶手在哪里,就算是伪造的MAC也没关系,只要你是可管理的交换机,就可以通过MAC查出接入地点。这个是因为交换机学习MAC的原理。
如果不是局域网,那就难办了,应该说没有什么好的办法,因为这时的MAC已经被很多路由器替换过了。
这个时候只有在所有的CLIENT的局域网端口上在IN的方向指定只能本网段的IP才能通过,或者通过CISCO的ip verify unicast rpf来防范。
回复
使用道具
举报
逍遥一指令
逍遥一指令
当前离线
积分
5
楼主
|
发表于 2006-12-6 11:07:53
|
显示全部楼层
问题是现在很多交换机并不带网管功能啊
回复
使用道具
举报
逍遥一指令
逍遥一指令
当前离线
积分
5
楼主
|
发表于 2006-12-7 11:43:11
|
显示全部楼层
还有什么好的办法吗?
回复
使用道具
举报
逍遥一指令
逍遥一指令
当前离线
积分
5
楼主
|
发表于 2006-12-7 18:52:01
|
显示全部楼层
难道就没有任何办法了吗?
回复
使用道具
举报
abitggmm
abitggmm
当前离线
积分
2
发表于 2007-4-12 22:59:08
|
显示全部楼层
将多余的IP禁用掉兴许是个好办法
回复
使用道具
举报
jrs13579
jrs13579
当前离线
积分
0
发表于 2007-4-13 14:58:11
|
显示全部楼层
这个估计没有办法解决,因为mac也可以伪造的。
回复
使用道具
举报
返回列表
发帖
高级模式
B
Color
Image
Link
Quote
Code
Smilies
您需要登录后才可以回帖
登录
|
CSNA会员注册
本版积分规则
发表回复
回帖并转播
回帖后跳转到最后一页
快速回复
返回顶部
返回列表
发表于 2006-12-6 10:32:39
|
显示全部楼层
发表于 2006-12-6 09:05:27