Eu quero deixar algo como o tcpdump rodando por até uma semana e, portanto, tornar sua saída o mais concisa possível para reduzir o tamanho do arquivo e acelerar a análise pós-captura.
Tudo que preciso fazer é registrar a primeira instância de cada origem ou destino de pacote (endereço IP e porta) para que eu possa criar uma imagem de quais dispositivos estão se comunicando com meu servidor (ou vice-versa).
Portanto, uma vez que ele vê um pacote do endereço IP 192.168.1.10 para a porta 80, não mais capture mais pacotes desse endereço para aquela porta.
Pontos de bônus se ele puder criar uma tabela de contagens de pacotes de cada fonte / para cada destino.
O melhor que eu tenho feito até agora é executar o tcpdump com as opções -t e -q (sem timestamps e quiet, respectivamente) e executar a saída através de sort e uniq para reduzir ( mas não elimine) as duplicatas. Pacotes para a mesma porta de destino, mas de diferentes portas de origem, passam por essa rede, por exemplo.