I am by no significa molto luminoso quando si parla di networking. Ma io so un po '.
Diciamo che sospetto che una backdoor sia sul mio pc. Per contrastarlo, ho installato un dispositivo tra il router e il mio PC per registrare tutto.
Funzionerebbe nell'idea che alla fine potrei vedere qualche indirizzo ip strano?
Would this work in the idea that I would eventually see some odd ip address?
In generale, sì. Se il malware comunica attivamente, sarai in grado di catturare il traffico e alla fine concludere quali server sta contattando (e leggere il traffico se non è crittografato).
Il problema con il tuo approccio è che puoi solo confermare che c'è del malware se fai scopri qualcosa. Il contrario non è vero. La backdoor potrebbe rimanere inattiva per una quantità arbitraria di tempo. Inoltre, è probabile che tu non riconosca il traffico dannoso in quanto tale:
Una backdoor intelligente può essere progettata per inviare traffico solo se altri processi stanno comunicando contemporaneamente. Ad esempio, se stai navigando sul Web, è davvero difficile sezionare tutte le connessioni per tutte le risorse caricate. La tua backdoor potrebbe semplicemente imitare una richiesta a un'immagine ospitata su un server AWS apparentemente insicuro e sarebbe difficile per te dire se la richiesta provenisse dal tuo browser o dalla backdoor. Inoltre, è possibile che il malware eluda il rilevamento utilizzando protocolli apparentemente non correlati, ad es. DNS o ICMP. Infine, il malware comunica spesso su TLS e dovrai essere in grado di decifrare il traffico per conclusioni definitive su cosa sta succedendo.
Quindi catturare tutto il traffico porterà solo a una conclusione partendo dal presupposto che il malware stia comunicando attivamente e che tu sia in grado di riconoscere il traffico dalla backdoor come tale.