¿Cuál es un error de syn en el protocolo TCP?
https://stackoverflow.com/questions/8807978
-
26-10-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPregunta
¿Cómo verificar los errores de SYN en una conexión usando JNetPCAP (JNetPCAP es Java Wrapper para libpcap)? ¿Cómo verificar el error REJ en conexión?
Estoy construyendo un sistema de detección de intrusos. En la actualidad, los atributos de extracción del conjunto de datos KDD CUP 99 para el sistema en vivo.
Cualquier referencia me será útil.
Solución
Puedes usar Hermano Para averiguar el estado de una conexión/flujo. Para este fin, ejecute Bro de la siguiente manera:
bro -r trace.pcap
Esto genera un archivo conn.log, que contiene una columna conn_state que refleja el estado de conexión. Aquí hay algunos valores relevantes del campo, para más detalles consulte el documentación:
- S0: Intento de conexión visto, sin respuesta.
- S1: Conexión establecida, no terminada.
- SF: Establecimiento normal y terminación. Tenga en cuenta que este es el mismo símbolo que para el estado S1. Puede distinguir a los dos porque para S1 no habrá ningún recuento de bytes en el resumen, mientras que para SF habrá.
- Rej: Intento de conexión rechazado.
- Rsto: Conexión establecida, Originador abortado (enviado un RST).
- RSTR: Establecido, respondido abortado.
Como nota al margen, la comunidad IDS Research desalienta vehementemente el uso del conjunto de datos DARPA (y el conjunto de datos de la Copa KDD derivado) a pesar de su atractiva disponibilidad.
