Wireshark

使用 tcpdump 進行應用流量分類

  • March 3, 2013

我有一個來自我的網路的跟踪文件。我想確定我們使用的前 10 個應用程序。tcpdump 是否提供任何基於應用程序的過濾選項?有關此的任何細節都會非常有幫助。謝謝。

沒有簡單的方法可以從跟踪中找到應用程序。讀取埠可能會給出一個想法(25 = SMTP、80 = HTTP 等),但這還遠遠不夠,因為一些應用程序使用許多不同的埠(BitTorrent),而一些應用程序在另一個埠上執行(布穀鳥式)通過通過防火牆(例如,在埠 443 上安裝 SSH 伺服器是很常見的,以確保即使從機場和酒店熱點也能訪問它們)。

DPI(深度數據包檢查)可能會有所幫助,但許多應用程序已加密或使用其他 DPI 規避技術,因為 DPI 經常用於邪惡的原因。

引用自:https://serverfault.com/questions/471966