Анализ сетевых потоков с помощью argus
В отличие от tcpdump/wirehark вместо отдельных пакетов argus хранит записи состояния потока.
Собрать потоки трафика из интерфейса eth0:
ip addr show
argus -i eth0 -w file.argus
Преобразовать набор пакетов в потоки трафика:
argus -r file.pcap -w file.argus
Посмотреть на собранные потоки:
ra -r file.argus -n
