Estoy generando una inundación de red con muchos paquetes provenientes de un par de puertos IP + fijos (en este ejemplo, 1.2.3.4:2003). ¿Por qué solo veo un paquete SYN_RECV en netstat en la máquina víctima?
SYN_RECV es un estado de socket TCP que se identifica mediante un par de puertos IP +. Por lo tanto, todos sus segmentos SYN caen en el mismo socket, ya que el par de puertos IP + está fijo en su caso.
Como probablemente no cambie secuencia y números de acuse de recibo también, el controlador TCP en la víctima solo trata a todos esos segmentos SYN como retransmitidos.
Lea otras preguntas en las etiquetas ddos synchronization netstat