76 名無しさん (アウアウアー Sa-7961fd3e552660b7) 2023/03/09(木) 21:52:12 ID:tDOlc7tPa6
>>74
IT1年目くらいならわかるように頑張った🥺
1. 対象はサーバじゃなくてルータに入る通信と出る通信を監視するよ
netflow v9(多分ソフト名)は宛先IPと送信元/先ポートでアプリケーションを識別できるよ
(送信元ポートはランダムだから多分攻撃される場合も自身が感染してbotになった場合も識別できるて意味)
C2Cサーバへの通信の監視だけならIPだけでいける
2. ヘッダには送信元/先
のIPやポート番号、プロコトル番号などは含まれるからこれを監視すれば1が実現できるよ
通信の内容はヘッダとは別にあるのでヘッダだけみるなら通信の秘密に抵触しないよね
3. HTTPアクセスするときHTTPSであれば通信の内容は暗号化される
けどヘッダは暗号化されないから誰がどこに通信したかは分かるよ
ここまでやるにはトランスポート層でコレクトする必要がある(分からん)
VPNについては方式次第でトンネリングであっても暗号化であっても最初の「vpn始めよーぜ」通信は使用者の生のIPで見えちゃうよ
接続確立後はヘッダ追加されるからVPN張ってるってことしかわからん
4. それTCP/IPの話じゃなぬてプリケーション実装の話なんで関係ない