У меня есть файл трассировки из моей сети. Я хотел бы выделить 10 самых популярных приложений, которые мы используем. Предоставляет ли tcpdump какие-либо параметры фильтрации на основе приложений? Любые подробности относительно этого были бы очень полезны. Спасибо.
Здесь нет просто способ найти приложение по следу. Чтение портов может дать представление (25 = SMTP, 80 = HTTP и т. Д.), Но этого далеко не достаточно, поскольку некоторые приложения используют множество различных портов (BitTorrent), а некоторые приложения запускаются (в стиле кукушки) на другом порту для передачи через брандмауэры (например, довольно часто серверы SSH подключены к порту 443, чтобы быть уверенным, что они доступны даже из точек доступа в аэропортах и отелях).
DPI (Deep Packet Inspection) может помочь, но многие приложения зашифрованы или используют другие методы обхода DPI, поскольку DPI часто используется по гнусным причинам.