==> 在 HenryChen.bbs@csie.nctu.edu.tw (身高187的大醜 的文章中提到: > 各位高手，我的電腦於日前發生嚴重當機現象，每次重開後不久又會發生，根據當機情形研 > 判（起先是系統反應速度大幅減少，後來就全當，暖開機也無效，但滑鼠還是會跑），應是 > 被新流行的land attack攻擊，裝了新出的patch檔，還是被打的死死的說:( > 想要裝一個如x-ray可以抓封包的軟體（當然是在同學的電腦上，不然自己的電腦當了，怎 > 麼把記錄留下來^_^），但發現一個問題，就是land.c所發出的syn封包，其src add及 > dst add均為被攻擊方的IP，那...這封包有辦法找出攻擊者的電腦位置嗎？可以從heading > 分析嗎？又要如何作呢？ 單純從封包來分析, 並無法找出來源, 你必須開啟自己 domain 所有 router 的 log 功能, 把不屬於自己 IP 範圍卻宣稱是自己 IP 的封包記錄下來, 再 配合 mac address 檢查, 才能找出禍首. 由於一般 inter-domain router 應該 (國外很普遍, 國內不然) 都有做 ingress/egress filtering (不懂的人請去 www.cisco.com 自行 search), 所以追查上並不是很困難, 不過必須請管理者密切配合. > 還有，不知到關於land.c的patch檔出了沒？（我是指真正有效的!），能有人將他download > 下來嗎？ 最有效的 patch 是在你的上游 router 做設定. > 最後一個問題，能不能有人說明一下teardrop的攻擊原理呢？ > 請各位高手花一點時間回答小弟的問題，不勝感激，謝謝！ > 如不方便在站上回答，請回信到我的信箱：iamhenry@ms1.accmail.com.tw -- * Origin: ★ 交通大學資訊科學系 BBS ★ <bbs.cis.nctu.edu.tw: 140.113.23.3>