Quante volte capita di vedere benevolmente un pacchetto TCP che viene ritrasmesso ma ha un carico utile diverso la seconda volta?
In altre parole, quanto spesso vediamo un pacchetto TCP con il numero di sequenza S, quindi vediamo un secondo pacchetto TCP con il numero di sequenza S ma con dati di carico utile diversi (incoerenti)? Quante volte succede in modo benevolo, non a causa di un attacco?
Motivazione: questo tipo di scenario si verifica in alcuni attacchi di evasione IDS . Alcuni IDS possono essere ingannati se un utente malintenzionato invia un pacchetto TCP con un carico utile innocuo, quindi invia immediatamente un secondo pacchetto TCP con lo stesso numero di sequenza, ma ora contiene un carico utile dannoso. Una difesa plausibile e ingenua è che l'IDS avvisi quando rileva una ritrasmissione con un carico utile diverso rispetto all'originale. Ciò solleva la questione di quanti falsi allarmi avvengono. Ho letto alcuni documenti di ricerca più vecchi che affermano che ciò accade sul campo per ragioni benigne abbastanza regolarmente e quindi il tasso di falsi allarmi della difesa ingenua sarebbe troppo alto. Mi chiedo se questo è accurato, e se lo è, solo quanto frequentemente accade (esclusi gli attacchi).