Scansione SYN, domanda pacchetto TCP

I pacchetti SYN sono un concetto TCP . TCP sta per aprire quindi usando una connessione , cioè un tunnel bidirezionale. Una connessione inizia con l'handshake a tre vie : un pacchetto con il flag SYN dal client, quindi un pacchetto con i flag SYN e ACK dal server, quindi un pacchetto con il flag ACK dal client . Quindi, per una normale connessione, un singolo pacchetto in arrivo con il flag SYN, anche se i gigabytes sono dati, verranno quindi scambiati tramite la connessione.

Con UDP , non c'è affatto "SYN". "SYN" è un flag scritto nell'intestazione TCP di alcuni pacchetti. Nessun TCP, nessuna intestazione TCP, quindi nessun SYN.

Per un server che "trasmette contenuti multimediali", il rapporto tra i pacchetti SYN dovrebbe essere molto basso: o il protocollo di streaming usa TCP, nel qual caso c'è solo un SYN in entrata per connessione, o il protocollo di streaming usa UDP, in nel qual caso non c'è affatto SYN.

L'uso della dimensione del pacchetto come metodo per rilevare i pacchetti SYN sembra un po 'stupido. Un pacchetto SYN può essere riconosciuto in modo univoco come tale in virtù del fatto che il flag SYN è scritto su di esso . Qualsiasi sistema IDS decente dovrebbe essere in grado di decodificare le intestazioni TCP e UDP, vedere quale pacchetto è quale e guardare il flag SYN. Vedi lo standard TCP per il formato dell'intestazione: il flag SYN è il 7 ° bit del 14 ° byte dell'intestazione . Affidarsi alle dimensioni del pacchetto, invece di limitarsi a guardare quel pezzo, puzza di incompetenza.

Inoltre, la dimensione del pacchetto non è garantita. Un pacchetto "SYN" è un pacchetto IP che contiene un'intestazione TCP che presenta il flag SYN. Sia l'intestazione IP che l'intestazione TCP possono contenere "opzioni", consentendo di modificare la dimensione a piacere. Un pacchetto SYN non è necessariamente lungo 40 byte; questa è solo la solita dimensione. Se i sistemi IDS iniziano a utilizzare le dimensioni del pacchetto come metodo per rilevare le scansioni, gli scanner metteranno a caso le misure dei loro pacchetti SYN come contromisura.

But when you're streaming media, aren't you receiving many?

Lo streaming di media è leggermente diverso dalla solita connessione TCP in quanto in genere si fluisce media su UDP. La ragione di ciò è che il costo della creazione in tempo reale della verifica in sequenza in streaming media è, sebbene non proibitivo, potenzialmente sufficiente per interrompere il flusso.

UDP, d'altra parte, è un protocollo "blast and forget". Invii il segmento corrente dei media un certo numero di volte e speri che l'altra parte lo abbia ricevuto. In caso contrario, l'altro capo è responsabile della ricerca di un modo adeguato per gestire tali informazioni mancanti: è possibile una correzione degli errori a livello di codec.

... determines the ratio of TCP packets to total packets that are being sent to a "malicious host". How would this portion be able to determine whether the (would be victim) host is seeding a torrent, or if they were being SYN scanned by an attacker?

Conosco pochissimo del protocollo bittorrent, tuttavia, penso che il punto generale che i due potrebbero essere indistinguibili probabilmente è giusto. Secondo quanto ho letto, bittorrent usa un numero di piccole connessioni TCP per trasmettere i dati. Se la scansione syn è limitata a un intervallo piccolo e la semina bittorrent su un intervallo elevato, mi aspetto che sia difficile distinguere statisticamente i due.

Tuttavia, ci sono alcune possibilità. In primo luogo, è probabile che le gamme valide per un seed bittorrent non implichino porte riservate che potrebbero essere utilizzate da altri servizi. Di conseguenza, è anche probabile che utilizzi un intervallo più ristretto di porte in genere, mentre è probabile che una scansione syn provi tutte le porte possibili.

Quindi, sospetto che dipenda dalla rete, ma potrebbe comunque essere possibile differenziare i due. In effetti, un'altra dimensione è che è possibile analizzare i modelli di traffico in generale. Le scansioni di Syn non comportano il trasferimento dei dati, mentre bittorrent lo fa, il che significa che i tempi tra syn / ack sarebbero diversi.

Un'altra osservazione - le connessioni syn bittorrent dovrebbero essere riconosciute (ci si aspetterebbe), mentre una syn scan probabilmente realizzerà molte connessioni a porte chiuse.

This seems pretty secure, but I don't know much information about this, are there other common types of packets that one can send in large quantities to a network (to multiple ports or even a single port) that are about 40 bytes?

È possibile. Secondo questa risposta StackOverflow la dimensione minima per un pacchetto UDP è di 28 byte con un datagramma vuoto. Se si desidera confondere le statistiche, è possibile inviare richieste udp all'host con un carico utile di 12 byte.

Detto questo, non conosco alcun protocollo in autentico uso a tempo pieno che sia esattamente 40 byte con una tale regolarità (cioè la deviazione standard sarebbe molto piccola). Sospetto che questa sia una misura abbastanza accurata.