Hi, Alexandre! On Fri, Apr 13, 2007 at 17:24 +0400, Alexandre Snarskii wrote:
Дано: у клиента запущено "что-то". Это "что-то" открывает tcp- и udp- сокеты на одинаковом "верхнем" порту и работает с довольно большим количеством потоков, при этом порты "коннектящихся" клиентов разбросаны довольно случайным образом.
Если есть возможность, то я бы попробовал снять траффик tcpdump'ом, а потом подсунуть его ethereal'у -- что-то он умеет распознавать.
Нет такой возможности... Только netflow... Но очень четкий признак (один порт для tcp и udp, и использование практически только его), я думал, про него уже все, кроме меня, знают :)
Я бы сказал, что это торрент-клиент на нестандартном порту. -- Victor Cheburkin VCW61, VC319-RIPE, VC1-UANIC =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message