tcpstatflow - Covert Tunnel Detector
From ヽRノ日記 a.k.a 2代目 :-D。
要は、HTTP / HTTPS / FTP / SMTP / POP3 の各プロトコルにおける通信データ量の(送信/受信の割合の)非対称性に着目してるわけですかね。
具体的には
- HTTP:送信データ小(リクエスト)、受信データ大(レスポンス)
- HTTPS:送信データ小(リクエスト)、受信データ大(レスポンス)
- FTP:送信データ小、受信データ小(コマンドとステータス)
- POP3:送信データ小(リクエスト)、受信データ大(レスポンス)
- FTPデータ:送受信どちらかが大きい傾向に偏る
- SMTP:送受信どちらかが大きい傾向に偏る
という感じか。
確かにコレ使われたら隠蔽は困難だわな。
ただし、このツールを使っても(たいていのトンネルで施された)暗号化を解けるわけじゃないので、アドレスを特定してそのアドレスを使ってる人を問い詰めるまでかな。
その他、プロトコルの挙動すらもFakeするようなインテリジェントなトンネルが出てきたらちょっときついか。
あとは、トンネルして内容を隠蔽する通信と、トンネルに使うプロトコルによる通信の挙動や傾向が一致してたら、これは判別つかないねぇ。平文かそうでないかの判断とかはわかるけど。