In un sistema che tenta di rilevare scansioni SYN, una tecnica consiste nell'analizzare la velocità di modifica di (pacchetti di rete inviati dall'host della vittima al secondo) . Processi come il caricamento di un file di grandi dimensioni non verrebbero "rilevati" come appartenenti alla scansione SYN poiché la velocità di modifica resterebbe costante. Ma quando sta accadendo una scansione SYN, il tasso di cambiamento è alto. Non capisco appieno perché sia davvero più alto, ho capito che la persona che scannerizza invia piccoli pacchetti non elaborati a più porte e quindi l'host della vittima si trova in un piccolo istante a inviare molte risposte.
Quindi suppongo che stiate giocando a 200 porte contemporaneamente, inviando pacchetti grezzi di dimensione 20 a ciascuna porta, la vostra velocità di cambiamento è di 4000. Come mai non si può tentare di caricare un file con la stessa velocità? Immagino che quello che non capisco è il motivo per cui questa velocità di modifica è limitata per file di grandi dimensioni, ma non per molti piccoli file che sostanzialmente equivalgono alle stesse dimensioni.