В настоящее время я исследую сетевой трафик. Здесь я хочу узнать, какой клиент с каким сервером общается. Очевидно, я могу взглянуть на первый пакет и увидеть:
PartyA:38531 ===request===> PartyB:80
PartyB:80 ===response==> PartyA:38531
PartyA:38531 ===request===> PartyB:80
PartyB:80 ===response==> PartyA:38531
PartyA:38531 ===request===> PartyB:80
PartyB:80 ===response==> PartyA:38531
Итак, PartyA запрашивает что-то с веб-сервера (PartyB). Порт PartyA выбирается случайным образом (https://en.wikipedia.org/wiki/Ephemeral_port ). Но что, если при захвате пакета не был захвачен первый пакет? Таким образом, первый пакет будет:
PartyB:80 ===response==> PartyA:38531
....
Как я могу узнать, кто сервер, а кто клиент? Существуют ли такие правила, как, например. «Эфемерный порт должен быть выше статического порта» или что-то в этом роде? Но тогда что произойдет с портом выше 61000?
Я хочу проанализировать трафик, идущий на определенный сервер и исходящий с определенного хоста. Но что, если новое соединение появится с новым эфемерным портом? Есть ли способы выяснить, кто сервер, а кто клиент?
Надеюсь, что мой вопрос понятен :) Заранее спасибо