TCPプロトコルのSynエラーとは何ですか?
-
26-10-2019 - |
質問
JNETPCAP(JNETPCAPはLIBPCAPのJavaラッパーです)を使用して接続内のSynエラーを確認する方法は?また、関連性のあるREJエラーを確認する方法もありますか?
侵入検知システムを構築しています。現在、ライブシステム用のKDDカップ99データセットの属性を抽出しています。
参照は私に役立ちます。
解決
使用できます 仲間 接続/フローのステータスを見つける。この目的のために、次のように仲間を実行します。
bro -r trace.pcap
これにより、ファイルが生成されます conn.log
, 、列が含まれています conn_state
これは、接続ステータスを反映しています。フィールドの関連する値は次のとおりです。詳細については、 ドキュメンテーション:
- S0: :接続の試行が見られ、返信はありません。
- S1: :接続が確立され、終了しません。
- SF: :通常の設立と終了。これは、状態S1と同じ記号であることに注意してください。 S1の場合、要約にはバイトカウントがないため、2つを隔てることができます。
- rej: :接続試行は拒否されました。
- RSTO: :接続が確立され、オリジネーターが中止されました(RSTが送信されました)。
- RSTR: :確立され、レスポンダーが中止されました。
サイドノートとして、IDSの研究コミュニティは、魅力的な可用性にもかかわらず、DARPAデータセット(および派生KDDカップデータセット)の使用を激しく落胆させます。
所属していません StackOverflow