63 名無しさん (ワッチョイW) 2023/03/09(木) 21:05:34 ID:3dvo3e6l05
>>51
1. 対象はサーバじゃなくてルータのingressとegressのフローを監視する
netflow v9は定義次第だけと簡単に言うとdstIPとsrc/dstPortでアプリケーションを識別できる
C2Cサーバへの通信の監視だけならIPだけでいける
2. IPヘッダやTCPヘッダにはsrc,dst
のIPやポート番号、プロコトル番号などは含まれるけど実際のデータはpayload内なので通信の秘密に抵触しないとの解釈だと思われる
3. どこまで見るかだけど例えばさんGに書き込んだとしてHTTP POSTが投げられる、このときtlsであればどのURIにPOSTをしたかまではわかってもbody部は暗号化されてきる
ここまでやるにはL4レベルでコレクトする必要がある
VPNについては方式次第でtunnelingであってもencryptionであっても初回のネゴシエーション通信はraw ipで見えて接続確立後はヘッダ追加されるからVPN張ってるってことしかわからん
4. それTCP/IPの話じゃなぬてプリケーション実装の話なんで関係ない