Классификация трафика приложения с tcpdump

Не существует простого способа найти приложение по трассировке. Чтение портов может дать представление (25 = SMTP, 80 = HTTP и т. Д.), Но этого далеко не достаточно, поскольку некоторые приложения используют много различных портов (BitTorrent), а некоторые приложения запускаются (в стиле кукушки) на другом порту для передачи через брандмауэры (например, довольно часто SSH-серверы подключены к порту 443, чтобы быть уверенным, что они доступны даже из точек доступа в аэропортах и ​​отелях).

DPI (Deep Packet Inspection) может помочь, но многие приложения зашифрованы или используют другие методы обхода DPI, так как DPI часто используется по гнусным причинам.