识别假UDP数据包

Question

我想识别源 IP 地址是伪造的 UDP 或 TCP 数据包。我的猜测是，即使数据包是用 hping 等程序伪造的，所有伪造数据包的 MAC src 地址仍然相同，这是正确的吗？

如果我的想法不正确，我如何识别这些被伪造的数据包，并且看起来每个数据包都有不同的来源？

谢谢。

Answer 1

MAC 地址也可以伪造。

使用 TCP，很容易识别/处理这个问题。您将使用 SYN-ACK 回复伪造的 SYN 数据包。如果是真实的客户端，它会回复 ACK 来完成握手。唯一需要注意的是，您必须实现 syn-cookie，这样您就不会创建状态和状态。等待 ACK 时会耗尽资源。

对于 UDP，没有办法知道，因为该协议是无连接的。如果您发送对假数据包的回复，则不能保证您会得到“真实”客户端的响应。所以没有办法辨别真假。

Answer 2

在我看来，UDP 和 TCP 与此无关。您谈论的只是第 2 层 (MAC) 和第 3 层 (IP)。即使这样，您也无法知道，因为源 MAC 地址应该是距离接收者最近的路由器的地址（假设数据包并非源自您的子网）。因此您应该看到大多数情况下的相同 MAC 地址入站数据包（同样，仅限互联网流量）。

现在有像 p0f 这样的分析工具可以处理数据包的签名，您可以尝试根据该信息进行一些启发式操作，但无法确定任何非常具体的信息。

Answer 3

从数据包中您可以获取最近节点的 MAC 地址。是的，你可以向假源地址（IP）发送ACK数据包，然后使用Traceroute命令知道源数据包的路径，这样你至少可以找到起源的位置。它在 TCP 中运行良好，您也可以得到确认。