Всем доброго дня и вечера! Предположим, есть стабильная версия iptables c обособленным адрессным пространнством (читай, аппаратный маршрутизатор). На нем ведутся логи сессий NAT. Периодически, ведется соспоставление первого по времени syn запроса и последующие, в течении времени, необходимого на загрузку средней страницы. Таким образом, на временных сессиях просмотра любимого сайта и по статистике хитов по суткам и неделям производится анализ на наличие троянов. Интерсуют два вопроса: 1) Как бы накопить удачные эвристики анализа статистики, с целью дальнейшего показа (пару раз в месяц) программисту средней руки, а также автоматизация анализа логов. 2) Как максимально скрыть не слишком назойливый троян и замылить глаза? Желающие начать эксперименты, могут скачать freebsd ipfw версию для Windows и начать свои поиски с помощью GNUUtils mawk, sed и grep.