Che cosa dimostrano questi screenshot di Wireshark?

Naviga le tue risposte
0

Sto leggendo un articolo sul recente Github DDoS con traffico proveniente da utenti Baidu non cinesi qui .

Ci sono due schermate di Wireshark nel mezzo dell'articolo con frecce che puntano al numero di sequenza del passo SYN-ACK dall'handshake a tre vie TCP, anche il TTL dall'intestazione IP e sul secondo screenshot, TCP La dimensione della finestra è indicata.

Tutto mi sembra normale, e non riesco davvero a capire che cosa dovrebbero dimostrare questi screenshot nel contesto del problema discusso. Cosa c'è di sbagliato in loro?

    
posta programings 29.03.2015 - 22:31
fonte

1 risposta

5

Ciò che questo screenshot vuole dimostrare è che SYN-ACK e i seguenti pacchetti hanno TTL diversi (Time-To-Live). Ogni pacchetto TCP ha un contatore TTL che inizia con un valore specifico quando un pacchetto lascia un host e viene decrementato da ogni router che inoltra il pacchetto. Il payload con un TTL inferiore rispetto al pacchetto SYN-ACK indica che ha attraversato più router. Ciò implica che alcuni sistemi hanno rilevato il SYN-ACK come "interessante" e hanno deciso di reindirizzare la connessione in seguito, probabilmente attraverso un sistema che ha eseguito un attacco man-in-the-middle.

    
risposta data 29.03.2015 - 23:17
fonte

Leggi altre domande sui tag

Quali tipi di vulnerabilità del software sono disponibili? [chiuso] Va bene inviare la chiave privata dell'utente, anche se protetta con un canale SSL? [duplicare]