Есть такой вопрос. он появился у меня давно, но подтолкнул

меня к нему инцидент с квалком. появился с интелМЕ. клоню к тому, что средства скрытой передачи информации могут идти аппаратно от поставщика железа. при чем я не включаю сюда протрояненные андроиды, от непонятных китайских производителей.

к примеру суриката не имеет правил, для какого штамма. к примеру трафик на файре не фильтруется на исходящий, или фильтруется, но пусть разрешен https.

т.е. имеем аппаратную скрытую угрозу. и имеем, ну, скажем, стандартную для многих сеть.

каким образом в таких случаях, найти что блокировать на сетевом уровне? (отказ от интел и квалком? так себе решение, т.к. в иностранных вендорах вполне может быть подобное. а отечественный сектор микроэлектроники не дорос)

интересует выявление паразитного малого трафика, к примеру на линке 100-1000мегабит. (есть конечно вариант сертификации девайсов в рф, и качать правила для файров, сурикаты, это если бы по уму).

примерно так.

Можно попробовать подтверждать каждый пакет. Условно внешнее фильтрующиее устройство будет слать запрос ОС, чтобы удостовериться, что запрос пришёл не от хардварного бэкдора, а от операционной системы

Намекаешь, что есть какой-то скрытый протокол на сетевом уровне? Или все же стандартный tcp/ip стек? Если стандартный то собрать дамп там, месячный огромный. И скриптом оттуда вычищать весь известный легитимный трафик. Минимум софта оставить ведь вопрос сетевуху потестить только. Второй вариант - взять несколько разных вендоров, тк можно предположить, что у разных вендоров разные способы будут. И на нескольких минимальных сборках запускать максимально одинаковые минимальные линуксы, выполнять заранее написанные одинаковые скрипты чтоб сгенерить трафик, все это дампать и потом диффы вычислять - обрабатывать этот огромный массив. Потянет думаю на хороший дисер.