如何验证数据包的合法性

caojq9902 · 发表于 2006-7-19 11:22:16

在当前的TCP/IP协议体制下,我们可以从哪些方面验证一个数据包属于合法的，或者说是别人伪造的。

紧急求助

菜鸟人飞 · 发表于 2006-7-19 11:37:37

判定数据包是否正确，可以通过检查数据包是否存在物理错误（CRC、过大过小。。。）和以太网错误中的各种协议的校验和。如果有任一项存在错误，则该数据包是不正确的。

羞定是否合法，即是否是别人伪造的，我想相对比较困难，需要确定数据包的源IP，源MAC，发包时间，以及该数据包对应的交换机端口。然后我们确定网络中该IP,MAC主机对应的交换机端口是否是上面确定的端口，以及该主机是否发送该数据包，这样即可确定该数据包是否是伪造的。
上述过程是理论上的，实施起来繁锁，且比较难实现。

Roy · 发表于 2006-7-19 15:24:29

有很多种方法验证数据包的合法性，比如如果怀疑网络内部有伪造地址的数据包，可以使用网络分路器（Network Tap），在特定的位置采集单向流量，根据流向很容易就可以判断源目标地址是否合法。（也可以在交换机上逐一设置每个端口单向流量的端口镜像，采样分析）

ValorZ · 发表于 2006-7-19 18:42:17

P2P通信的时候用SSL加密吧，这样的话，即使是电信也没有办法伪造数据流量了