おととい書いたネタ補足。 1. HTTPSを禁止するのは現実的ではないので、proxyのCONNECT methodを監視。URLの正規表現で既知のサイトはblock and/or alart 2. port 25はdefault deny 3. user-agentを監視、snortのsignatureもあるでよ 4. uricontentで既知のGmail proxy(?)にマッチするsignatureを作成。Dynamic DNSも監視対象に 5. 極めて悪質。油断させておいて、そっとログを提出 今回紹介した回避方式だと、4.を使えば検知はできそう(誤検知をする可能性もあるが) POST http://7lo.jp/wp/webproxy3.cgi HTTP/1.0 Host: 7lo.jp Accept-Language: ja Content-Length: 584 Connec