TCPプロトコルのSynエラーとは何ですか？

Question

JNETPCAP（JNETPCAPはLIBPCAPのJavaラッパーです）を使用して接続内のSynエラーを確認する方法は？また、関連性のあるREJエラーを確認する方法もありますか？

侵入検知システムを構築しています。現在、ライブシステム用のKDDカップ99データセットの属性を抽出しています。

参照は私に役立ちます。

Answer 1

使用できます 仲間 接続/フローのステータスを見つける。この目的のために、次のように仲間を実行します。

bro -r trace.pcap

これにより、ファイルが生成されます conn.log, 、列が含まれています conn_state これは、接続ステータスを反映しています。フィールドの関連する値は次のとおりです。詳細については、 ドキュメンテーション:

• S0: ：接続の試行が見られ、返信はありません。
• S1: ：接続が確立され、終了しません。
• SF: ：通常の設立と終了。これは、状態S1と同じ記号であることに注意してください。 S1の場合、要約にはバイトカウントがないため、2つを隔てることができます。
• rej: ：接続試行は拒否されました。
• RSTO: ：接続が確立され、オリジネーターが中止されました（RSTが送信されました）。
• RSTR: ：確立され、レスポンダーが中止されました。

サイドノートとして、IDSの研究コミュニティは、魅力的な可用性にもかかわらず、DARPAデータセット（および派生KDDカップデータセット）の使用を激しく落胆させます。