escaneo SYN, determinando escaneo vs carga de archivos grandes

3

En un sistema que intenta detectar escaneos SYN, una técnica es analizar la tasa de cambio de (paquetes de red enviados desde el host de la víctima por segundo) . Los procesos como la carga de un archivo grande no se "detectarían" como pertenecientes a la exploración SYN porque la tasa de cambio se mantendría constante. Pero cuando ocurre un escaneo SYN, la tasa de cambio es alta. No entiendo completamente por qué es realmente más alto, entiendo que la persona que escanea está enviando pequeños paquetes sin procesar a múltiples puertos y, por lo tanto, el host víctima está enviando muchas respuestas en un pequeño instante.

Supongo que supongo que está hurgando en 200 puertos simultáneamente, enviando paquetes crudos de tamaño 20 a cada puerto, su tasa de cambio es de 4000. ¿Por qué no puede intentar cargar un archivo a esa misma velocidad? Supongo que lo que no entiendo es por qué esta tasa de cambio está restringida para archivos grandes, pero no para muchos archivos pequeños que equivalen esencialmente al mismo tamaño.

    
pregunta Feng Huo 07.04.2013 - 07:16
fuente

1 respuesta

2

Cuando esté realizando un análisis de sincronización, la mayoría de los puertos tendrán uno de dos resultados. Si el puerto tiene cortafuegos y está configurado para que se descarte de forma silenciosa, no se devolverán paquetes para la mayoría de los puertos, por lo que verá muy cerca de 0 / t paquetes devueltos. Si no está cayendo en silencio, verá 1 paquete RST por cada SYN. Tendrá una proporción cercana a 1: 1 de enviado a recibido.

Si realiza una carga de archivos de gran tamaño a través de TCP, la conexión se ACKd todos los paquetes w, donde w es el tamaño de la ventana tcp, por lo que tendrá una relación cercana al 1 / w enviado a paquete recibido, donde normalmente w < < t.

    
respondido por el Brandon Franklin 07.04.2013 - 15:13
fuente

Lea otras preguntas en las etiquetas