si detecto todo el tráfico que sale de mi enrutador, si hay tráfico de botnet, ¿será tráfico de IP o algún malware usa otros protocolos como SSH, FTP, TFTP, etc.? ¿Los programas de software antivirus realizan rutinariamente análisis de patrones de tráfico de salida? ¿Sería útil crear una utilidad que analice de manera rutinaria dicho tráfico y lo muestre en un formato fácil de usar?
Internet es una red de paquetes conmutados, por lo que el malware va a utilizar una red de paquetes conmutados. Puede usar UDP o TCP o posiblemente una de varias opciones poco comunes, pero todos los protocolos que mencionó usan TCP / IP para su transporte. Si realmente está olfateando todo el tráfico a través del enrutador, entonces verá el tráfico ya que el enrutador informará todo el tráfico por el que está pasando. Si el enrutador no lo sabe, entonces la información no puede ir a través del enrutador.
Lea otras preguntas en las etiquetas malware