フィルタ
Argusのra*1で使うフィルタのメモ。
IPアドレスが192.168.0.1と5のセッションを表示 - ip host 192.168.0.1 and 192.168.0.5 ポート 22/TCP のセッションを表示(src or dst) - tcp port 22 ポート 25/TCP, 80/TCP、53/UDP、ICMP を除外 - not \( tcp port 25 or 80 or udp port 53 \) and not icmp
なんか、フィルタの書き方が美しくない気がする。ひょっとしてもっとすっきり書けるんぢゃないんだろうか?orz
とりあえず、問題ないと思われるポートを使った通信を除外していくことで、バックドアポートの通信をあぶりだしてみる。
ICMP とか一気に除外してしまうと、ICMP トンネルとかが存在するとアレな気がするので、その辺りは別の(流量とかで)フィルタをしたほうがいいんですかねぇ。
ポートスキャン
フィルタで問題なさそうな通信を除外していくと、ポートスキャンの通信が残ってくるんですが、かなり邪魔なのでこれをうまくフィルタしたいなぁ...
SSHクライアント
.NET Framework を必要とするので使ってなかったのですが、argus でいろいろ試すのにタブが使いたくなったのでインストールしてみる。
Terminal Emulator VaraTerm
http://www.routrek.co.jp/product/varaterm/