예제 PCAP 파일을 구문 분석하기 위해 "dpkt"랩퍼 라이브러리를 사용하여 Python 2.7로 작은 스크립트를 작성하려고합니다.PCAP 파일을 읽을 때 반 개방 스캔 감지
seq = 0이고 플래그가 설정되지 않은 경우와 같이 NULL 검사에 대한 특정 검사가 성공적으로 작성되었지만 반 개방 검사의 경우 어떻게해야합니까?
내가 좋아하는 뭔가를하려고 노력 : if SYN and RST flags are set print "Half-open" scan detected
을하지만 위의 논리는 반 열린 연결을 예제 PCAP 파일에서 연결을 따기되지 않습니다.
추가 점검이 필요합니까?
일반 TCP 핸드 쉐이크와 전형적인 "반 열림"TCP 연결 워크 플로우 (일반적으로 모니터링 및로드 밸런싱에 사용)의 차이는 이것이다 :
그래서Normal
------
Client ---SYN---> Server
Client <-SYN,ACK- Server
Client ---ACK---> Server
Half-Open
---------
Client ---SYN---> Server
Client <-SYN,ACK- Server
Client ---RST---> Server
당신이 마지막 클라이언트 -을의 참조 to-Server 패킷이 다릅니다. 반 개방을 나타내는 단일 패킷을 찾을 수 없습니다. 당신은 흐름/시퀀스/대화 (당신이 그것을 부르기 원한다면)를 찾아야합니다. 나는 반쯤 열린 것처럼 보이고 일반적으로 매우 빠르게 일어납니다 (모든 것이 올바르게 작동한다면 이상적으로 몇 밀리미터 이내).