Замена заголовка ип, как узнать реальный ?

0

0

Собственно сабж. В сети идет icmp атака на хосты, заголовок ип явно подменен, так как хостами бывают и www.ru и ya.ru

Хотелось бы узнать, как все же прочесть реальный адрес, тоесть без подмены ?

Ссылка

←	После перевода слаки 10.2 на ядро 2.6.21.1 стал зависать rc.hotplug

MRTG + oid'ы и мибы

→

ПО почерку исправлявшего...

cvv ★★★★★
(23.05.07 02:58:14 MSD)

Ответ на: комментарий от cvv 23.05.07 02:58:14 MSD

а можно более понятно ? tcpdump видит только то что есть эхо-запрос, от кого и куда.

PUZO ★
(23.05.07 03:01:51 MSD) автор топика

Ссылка

Звонить провайдеру и объяснять ситуацию

roy ★★★★★
(23.05.07 08:24:58 MSD)

Ссылка

Никак не прочесть, его ведь там уже нет. Можно попытаться вычислить откуда идут пакеты, но это зависит от конкретных условий. Атака снаружи идёт?

zwon ★
(23.05.07 12:02:50 MSD)

Ответ на: комментарий от zwon 23.05.07 12:02:50 MSD

Нет, из нутри

anonymous
(23.05.07 13:15:44 MSD)

Ответ на: комментарий от anonymous 23.05.07 13:15:44 MSD

если изнутри то нада MAC искать

flat
(23.05.07 15:05:21 MSD)

Ссылка

Ответ на: комментарий от anonymous 23.05.07 13:15:44 MSD

а если SNORT поставить?

nicebytes
(23.05.07 15:21:02 MSD)

Ссылка

Ответ на: комментарий от anonymous 23.05.07 13:15:44 MSD

Да, если вам такое понравится..

Я в последнее время увлекся виртуальными машинами.
Это можно использовать, например, так: ставится на
VM специализированный дистрибутив, например IPCop.
В нем устанавливаешь SNORT и все остальное.
При атаке траффик переводишь через VM, пишешь логи,
вычисляешь гада.

Потом возвращаешь все в нормальный режим.

nicebytes
(23.05.07 15:24:55 MSD)

Ответ на: комментарий от nicebytes 23.05.07 15:24:55 MSD

А вот последняя идея просто супер! Спасибо !

PUZO ★
(23.05.07 17:31:38 MSD) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	После перевода слаки 10.2 на ядро 2.6.21.1 стал зависать rc.hotplug

MRTG + oid'ы и мибы

→