En un sistema que intenta detectar escaneos SYN, una técnica es analizar la tasa de cambio de (paquetes de red enviados desde el host de la víctima por segundo) . Los procesos como la carga de un archivo grande no se "detectarían" como pertenecientes a la exploración SYN porque la tasa de cambio se mantendría constante. Pero cuando ocurre un escaneo SYN, la tasa de cambio es alta. No entiendo completamente por qué es realmente más alto, entiendo que la persona que escanea está enviando pequeños paquetes sin procesar a múltiples puertos y, por lo tanto, el host víctima está enviando muchas respuestas en un pequeño instante.
Supongo que supongo que está hurgando en 200 puertos simultáneamente, enviando paquetes crudos de tamaño 20 a cada puerto, su tasa de cambio es de 4000. ¿Por qué no puede intentar cargar un archivo a esa misma velocidad? Supongo que lo que no entiendo es por qué esta tasa de cambio está restringida para archivos grandes, pero no para muchos archivos pequeños que equivalen esencialmente al mismo tamaño.