¿Qué demuestran estas capturas de pantalla de Wireshark?

Navega tus respuestas
0

Estoy leyendo un artículo sobre el reciente DDoS de Github con tráfico proveniente de usuarios no chinos de Baidu aquí .

Hay dos capturas de pantalla de Wireshark en el centro del artículo con flechas que apuntan al número de secuencia del paso SYN-ACK del protocolo de enlace de tres vías de TCP, también el TTL del encabezado de IP, y en la segunda captura de pantalla, TCP El tamaño de la ventana es puntiagudo.

Todo parece normal para mí, y realmente no puedo entender lo que estas capturas de pantalla deberían demostrar en el contexto del problema discutido. ¿Qué está mal con ellos?

    
pregunta programings 29.03.2015 - 22:31
fuente

1 respuesta

5

Lo que esta captura de pantalla desea demostrar, es que el SYN-ACK y los siguientes paquetes tienen diferentes TTL (Time-to-Live). Cada paquete TCP tiene un contador TTL que comienza en un valor específico cuando un paquete abandona un host y disminuye por cada enrutador que reenvía el paquete. La carga útil que tiene un TTL más bajo que el paquete SYN-ACK significa que pasó a través de más enrutadores. Esto implica que algún sistema detectó el SYN-ACK como "interesante" y decidió reencaminar la conexión posteriormente, probablemente a través de algún sistema que realizó un ataque de hombre en el medio.

    
respondido por el Philipp 29.03.2015 - 23:17
fuente

Lea otras preguntas en las etiquetas

¿Pueden los paquetes de una red inalámbrica ser detectados por un usuario que no está presente en esa red? Firmas digitales de cifrado asimétrico