to elssann(睡睡裤) 任何包都是可以伪造的,这类数据包是软件绝对检测不出的,甚至连帧的信息都是可以伪造的。我的意思是这个数据包可能不是你电脑发出的也有可能,别人可以伪造成你的ip和mac,发送一个数据包到网络上,你的sniffer pro在杂乱(promiscuous)模式状态下可以获取局域网中所有数据包,当你截取改数据包后,更本无法识别是否是自己发出的。当然上面的这种可能性很小。你说:“即使你改变包里的端口,但是数据总要从一个端口里发出吧”这是不需要的,自己用原始套接字写一个tcp数据包扔出去,是不需要什么端口的,你是以ip数据包的方式发送的,而不是依靠tcp发送的,如果依靠tcp发送,是无法伪造信息的,你可以查阅一些这类的资料。
对方认为你在5000的端口监听的,你看看发送方的相关数据
-----------------------------------------------------------请看清楚我的问题,是我的端口发出去的!!
用SNIFFER PRO抓到的。用ICESWORD看的时候,却发现本机并没有打开UDP 5000 端口。而且是RTP协议
回复人: yzkzero(Skall You) ( ) 信誉:100 2005-07-02 22:29:00 得分: 0
如果自己写原始套接字发数据包,应该可以办到的自己写一个tcp的数据包,端口,源地址都可以改变的
--------------------------------------------------------------------------不可能,我用的Icesword是一个很好的ROOTKIT检测工具,很多内核级的后门都可以被检测出来。何况一个RAW SOCKET。
再说,即使你改变包里的端口,但是数据总要从一个端口里发出吧
当时我的机器上除了正常的端口,没有别的可疑问端口。