¿Con qué frecuencia sucede que vemos benignamente un paquete TCP que se retransmite pero tiene una carga útil diferente la segunda vez?
En otras palabras, ¿con qué frecuencia vemos un paquete TCP con el número de secuencia S y luego vemos un segundo paquete TCP con el número de secuencia S pero con datos de carga útil diferentes (inconsistentes)? ¿Con qué frecuencia sucede esto de manera benigna, no debido a un ataque?
Motivación: este tipo de escenario ocurre en algunos ataques de evasión IDS . Algunos IDS pueden ser engañados si un atacante envía un paquete TCP con una carga útil inocua, luego envía un segundo paquete TCP con el mismo número de secuencia pero ahora contiene una carga útil maliciosa. Una defensa plausible e ingenua es que el IDS se alerte cuando vea una retransmisión que conlleva una carga útil diferente a la original. Eso plantea la pregunta de cuántas alertas falsas se activarán. He leído algunos trabajos de investigación más antiguos que afirman que esto sucede en el campo por razones benignas con bastante regularidad y, por lo tanto, la falsa alerta de alerta de la ingenua defensa sería demasiado alta. Me pregunto si esto es correcto y si lo es, con qué frecuencia sucede (excluyendo los ataques).