SnortでProxyから出て行くSkypeを検知
ルールはこれで検知した

content:"|17 03 01 00 00|"

• http://www1.cs.columbia.edu/~salman/publications/skype1_4.pdf

squidでは

1186470848.000 18950 210.xxx.xxx.xxx TCP_MISS/200 34778 CONNECT 212.72.000.000:443 - DIRECT/212.72.000.000 -
1186472188.000 1364696 210.xxx.xxx.xxx TCP_MISS/200 20859 CONNECT 130.83.000.000:443 - DIRECT/130.83.000.000 -
1186472252.000 24332 210.xxx.xxx.xxx TCP_MISS/200 12485 CONNECT 84.247.000.000:443 - DIRECT/84.247.000.000 -
1186472252.000 19194 210.xxx.xxx.xxx TCP_MISS/200 36137 CONNECT 212.72.000.000:443 - DIRECT/212.72.000.000 -
1186472291.000 1304 210.xxx.xxx.xxx TCP_MISS/200 392 CONNECT 68.55.000.000:443 - DIRECT/68.55.000.000 -
1186472313.000 19178 210.xxx.xxx.xxx TCP_MISS/200 36137 CONNECT 212.72.000.000:443 - DIRECT/212.72.000.000 -

このようにスーパーノードへアクセスしているのが見える(一部伏)
とめかた
squid.confで

acl numeric_IPs urlpath_regex ^[0-9]+\.[0-9]+\.[0-9]+\.[0-9]+
acl connect method CONNECT
http_access deny connect numeric_IPs all