フィルタ
Argusのra*1で使うフィルタのメモ。
IPアドレスが192.168.0.1と5のセッションを表示 - ip host 192.168.0.1 and 192.168.0.5 ポート 22/TCP のセッションを表示(src or dst) - tcp port 22 ポート 25/TCP, 80/TCP、53/UDP、ICMP を除外 - not \( tcp port 25 or 80 or udp port 53 \) and not icmp
なんか、フィルタの書き方が美しくない気がする。ひょっとしてもっとすっきり書けるんぢゃないんだろうか?orz
とりあえず、問題ないと思われるポートを使った通信を除外していくことで、バックドアポートの通信をあぶりだしてみる。
ICMP とか一気に除外してしまうと、ICMP トンネルとかが存在するとアレな気がするので、その辺りは別の(流量とかで)フィルタをしたほうがいいんですかねぇ。