接收不同MAC地址的数据包

Question

是否有可能以混杂模式捕获一些数据包（例如使用 winpcap），然后强制操作系统（应用程序）接收它们，因为它们是为我们的 MAC 发送的？

我的观察如下。我们可以：

• 使用捕获所有网络流量 混杂模式（winpcap）
• 使用过滤/修改数据包 防火墙钩子/过滤器钩子
• 将数据包发送到具有更改的 MAC 的网络

我不确定防火墙钩子是否可以访问由于混杂模式而可用的所有数据包。不是在下层吗？如果不能，唯一的解决方案是捕获所需的数据包，然后使用更改后的 MAC 将它们重新发送到网络？

我是网络新手，所以请对我宽容一些：）

任何帮助都将不胜感激。 提前致谢。

Answer 1

您已接近白帽/黑帽黑客。我知道我的公司积极监视混杂的 NIC，追捕所有者并杀死（解雇）他们。也许如果您问我们您想做什么，我们可以提供一些建议。

如果您尝试分析您的网络，有些软件和/或硬件解决方案可能会做得更好。如果您只是想观看网络中有趣的文本流，那么......也许您还在上大学。

Answer 2

首先，是的，如果您的接口在混杂模式下运行，那么您将收到“在线”的所有内容。这已经是一个困难，现在许多（如果不是全部）网络都是交换的，这意味着系统外部的硬件在数据包到达您的系统之前已经进行了一些过滤，因此您首先需要欺骗交换机将这些数据包传输到您的一端（可以通过发送虚拟 arp、配置交换机或恶意来完成;-)）。
那么，如果这些数据包在您的系统中收到，您打算如何处理它们？以太网帧将携带 ip 数据包，通常带有目标 ip 地址，而该地址已经不在您的主机上（如果是，则意味着您的网络上将有重复的 ip 地址，也会导致问题。

所以主要的问题是，你真正想做的是什么？

Answer 3

一旦收到数据包，它就已经通过协议栈了。我不认为 Windows 会给你访问 Winsock 中间的权限，而这需要以某种方式将其重新插入。

更重要的是，这是一个非常危险的想法。无论您想做什么，我可以向您保证有更好的方法来做到这一点。