@port139 Blog

基本的にはデジタル・フォレンジックの技術について取り扱っていますが、記載内容には高確率で誤りが含まれる可能性があります。

フィルタ

Argusのra*1で使うフィルタのメモ。

IPアドレスが192.168.0.1と5のセッションを表示
- ip host 192.168.0.1 and 192.168.0.5
ポート 22/TCP のセッションを表示(src or dst)
- tcp port 22
ポート 25/TCP, 80/TCP、53/UDP、ICMP を除外
- not \( tcp port 25 or 80 or udp port 53 \) and not icmp

なんか、フィルタの書き方が美しくない気がする。ひょっとしてもっとすっきり書けるんぢゃないんだろうか?orz
とりあえず、問題ないと思われるポートを使った通信を除外していくことで、バックドアポートの通信をあぶりだしてみる。
ICMP とか一気に除外してしまうと、ICMP トンネルとかが存在するとアレな気がするので、その辺りは別の(流量とかで)フィルタをしたほうがいいんですかねぇ。