Networking 识别伪造的UDP数据包

我想识别源IP地址伪造的UDP或TCP数据包。我的猜测是，即使数据包是用一个像hping这样的程序伪造的，所有伪造的数据包上的MAC src地址仍然是相同的，对吗

如果我的想法不正确，我如何识别这些被伪造的数据包，并且看起来每个数据包都有不同的来源

---

谢谢。

在我看来，UDP和TCP与此无关。你说的只是第二层（MAC）和第三层（IP）。即使这样，您也无法知道，因为源MAC地址应该是距离收件人最近的路由器的MAC地址（假设数据包不是源于您的子网），所以对于大多数入站数据包，您应该看到相同的MAC地址（同样，仅限互联网流量）

---

现在有了像p0f这样的分析工具，可以对数据包的签名进行分析，您可以尝试根据这些信息进行一些试探，但无法确定任何具体的信息。

MAC地址也可以伪造

使用TCP，很容易识别/处理此问题。您将使用SYN-ACK回复假SYN数据包。如果它是一个真正的客户机，它会用ACK回复以完成握手。唯一需要注意的是，您必须实现syn cookies，以便在等待ACK时不会创建状态并耗尽资源

---

对于UDP，没有办法知道，因为协议是无连接的。如果你发送一个对假数据包的回复，你就不能保证得到来自“真实”客户端的响应。因此，无法识别假节点。

从数据包中，您可以获得最近节点的MAC地址。是的，您可以将ACK数据包发送到假源地址（IP），然后使用Traceroute命令了解源数据包的路径，这样您至少可以找到源数据包的位置。它在TCP中运行良好，您也可以获得确认。

是的，它肯定是IP层，但是您能告诉我这些工具如何配置数据以进行识别吗？也许可以检查数据包数量，查看有多少个源，并检查源地址数和数据包数之间的比率？