Работа с pcap: анализ (Wireshark, tcpdump), редактирование (WireEdit, editcap, mergecap) и воспроизведение (tcpreplay)

АНАЛИЗ
Wireshark

https://unit42.paloaltonetworks.com/using-wireshark-identifying-hosts-and-users/ – идентификация данных о хосте на основе pcap (из dhcp, nbns, http, kerberos)

https://www.malware-traffic-analysis.net/index.html – упражнения по анализу трафика с атаками

Wireshark не только с точки зрения удобства использования лучше tcpdump, он считается и намного более мощным инструментом в сравнении с ним, особенно когда идет вопрос в анализе уровня приложений (поддержка более 2к протоколов, даже таких как USB/Bluetooth/Zigbee).

Читать дальше