我有一个来自网络的跟踪文件。我想确定我们使用的前 10 个应用程序。tcpdump 是否提供任何基于应用程序的过滤选项?有关此的任何详细信息都将非常有帮助。谢谢。
答案1
没有简单的从跟踪中查找应用程序的方法。读取端口可能会给出一些想法(25 = SMTP、80 = HTTP 等),但这远远不够,因为有些应用程序使用大量不同的端口(BitTorrent),而有些应用程序在另一个端口上运行(cuckoo 风格)以穿过防火墙(例如,在端口 443 上设置 SSH 服务器是很常见的,以确保即使从机场和酒店热点也可以访问它们)。
DPI(深度数据包检测)可能会有帮助,但许多应用程序都经过加密或使用其他 DPI 规避技术,因为 DPI 通常用于邪恶目的。