アンタイ・フォレンジック妖怪の独り言

基本的にはデジタル・フォレンジックの技術について取り扱っていますが、記載内容には高確率で誤りが含まれる可能性があります。

グラフデータの収集継続中

昨日から、二つのIRCサーバでそれぞれ1つのチャネルに参加して argus のデータを取得しているのですが、なかなか興味深いグラフが描かれますね。

ragraph pkts saddr daddr -M 60m -r argus.out -n - tcp port 6667

こんな↑感じのコマンドでグラフに出してますが、静かなチャネル*1はパケット数の推移が一定になるので、Botnet みたいなのと接続しているとこんなグラフになるのかなぁとか、会話があるチャネルは時折パケット数が増えるので、Botnet との接続ではないと推測できないかなぁ〜とか妄想中。
80/tcp で同様のグラフを書かせると、Gmail 開きっぱなしとかは色に出てくるので興味深いですね。

*1:誰も話してないけど、入退室はある