Immagina di dover pestare un server che implementa il rilevamento di portscan in base al numero di pacchetti ricevuti su porte diverse in un intervallo di tempo.
Non so che il server stia implementando questa protezione, non voglio che il mio IP sia bloccato e voglio essere il più veloce possibile senza essere bloccato.
Come posso rilevare che il server sta implementando questa protezione? Posso stimare la soglia in cui il mio IP verrà bloccato?
Logicamente non puoi sapere a che punto il server ti bloccherà finché non raggiungerai effettivamente la soglia e sarai bloccato. Questo non è qualcosa che il server pubblicizzerà.
Se disponi di un IP di riserva, puoi aumentare il numero di pacchetti al secondo fino a quando non sei bloccato, a quel punto sai quale soglia da non superare con il tuo altro IP.
È probabile che i buoni firewall utilizzino un'euristica più complessa, in base non solo al numero di pacchetti ma anche alle porte di destinazione. È probabile che possa elaborare l'effettiva euristica del firewall bruciando alcuni IP, ma non puoi indovinarlo a priori .
Leggi altre domande sui tag penetration-test