АНАЛИЗ
Wireshark
https://unit42.paloaltonetworks.com/using-wireshark-identifying-hosts-and-users/ – идентификация данных о хосте на основе pcap (из dhcp, nbns, http, kerberos)
https://www.malware-traffic-analysis.net/index.html – упражнения по анализу трафика с атаками
Wireshark не только с точки зрения удобства использования лучше tcpdump, он считается и намного более мощным инструментом в сравнении с ним, особенно когда идет вопрос в анализе уровня приложений (поддержка более 2к протоколов, даже таких как USB/Bluetooth/Zigbee).
Читать дальше