Sto generando un'inondazione di rete con un sacco di pacchetti provenienti da una coppia di porte IP + fisse (in questo esempio, 1.2.3.4:2003). Perché vedo solo un pacchetto SYN_RECV in netstat sulla macchina vittima?
SYN_RECV è uno stato di socket TCP identificato da una coppia di porte IP +. Quindi tutti i tuoi segmenti SYN rientrano nello stesso socket, poiché la coppia di porte IP + è fissa nel tuo caso.
Come probabilmente non cambierai numeri di sequenza e riconoscimento , il driver TCP sulla vittima tratta tutti quei segmenti SYN come ritrasmessi.
Leggi altre domande sui tag synchronization ddos netstat