Я хочу оставить что-то вроде tcpdump на срок до недели и поэтому сделать вывод максимально сжатым, чтобы уменьшить размер файла и ускорить анализ после захвата.
Все, что мне нужно сделать, это зарегистрировать первый экземпляр каждого источника или назначения пакета (IP-адрес и порт), чтобы я мог составить представление о том, какие устройства обмениваются данными с моим сервером (или наоборот).
Таким образом, как только он видит пакет с IP-адреса 192.168.1.10 на порт 80, больше не перехватывает больше пакетов с этого адреса на этот порт.
Бонусные баллы, если он может составить таблицу количества пакетов от каждого источника / до каждого пункта назначения.
Лучшее, что я придумала до сих пор, - это запуск tcpdump с опциями -t и -q (без временных меток и тишины соответственно) и запуск вывода через sort и uniq чтобы уменьшить (но не устранить) дубликаты. Пакеты в один и тот же порт назначения, но из разных исходных портов, например, проходят через эту сеть.