グラフデータの収集継続中
昨日から、二つのIRCサーバでそれぞれ1つのチャネルに参加して argus のデータを取得しているのですが、なかなか興味深いグラフが描かれますね。
ragraph pkts saddr daddr -M 60m -r argus.out -n - tcp port 6667
こんな↑感じのコマンドでグラフに出してますが、静かなチャネル*1はパケット数の推移が一定になるので、Botnet みたいなのと接続しているとこんなグラフになるのかなぁとか、会話があるチャネルは時折パケット数が増えるので、Botnet との接続ではないと推測できないかなぁ〜とか妄想中。
80/tcp で同様のグラフを書かせると、Gmail 開きっぱなしとかは色に出てくるので興味深いですね。
*1:誰も話してないけど、入退室はある