Sugestões sobre como capturar conexões de rede / tráfego para determinar versões de navegador / SSL?

Observe que publiquei este Q no site do InfoSec do StackExchange, mas ele não é tão preenchido quanto o ServerFault e isso é mais sobre o lado técnico da coleção de rede para serviços da Web.

Comecei a pensar em como abordar a análise do tráfego da minha rede em busca de informações relacionadas ao uso do SSL e do navegador para meu farm de servidores da web. Também suspeito que existam alguns servidores da web shadow (legados, desconhecidos) em execução em nossa rede e gostaria de tentar também capturar conexões para eles.

Basicamente, estou procurando uma solução barata que possa:

• Registre todas as conexões e seus protocolos, da mesma forma que o Wireshark registrará src / dst e protocolo, mas não coletará os dados em si. Apenas cabeçalho e informações do tipo de protocolo. (por exemplo, endereços IP de origem / destino, protocolo e qualquer versão / detalhes de protocolo, como a versão SSL / TLS, etc ...)
• Para conexão HTTP, registre o atributo "User-Agent" do navegador. (para que eu possa criar passivamente um pouco de versão do navegador / imagem de compatibilidade)
• Ser capaz de fazer isso para portas não padrão seria uma vantagem. Limitar a coleção apenas a protocolos específicos seria uma ideia. por exemplo. apenas colete HTTP, SSL e TLS.

Eu acabaria ligando um servidor dedicado a coletar essas informações em uma porta espelhada em cada switch sob meu controle.

Isso ajudaria a acompanhar atividades como:

• Descubra quais serviços da web estão permitindo versões fracas de SSL / TLS. por exemplo. se eu vir qualquer SSLv2 / 3, consideraria encontrar e reconfigurar esses servidores da web para o mínimo de TLS v1.1.
• Obtenha uma imagem do cenário de criação e versão do navegador da Web do usuário final, para que eu possa tomar decisões sobre quais alterações mínimas de segurança podem ser feitas com segurança. por exemplo. Se 15% dos navegadores forem do IE8 no Vista (!) que não suportam TLSv1.1 +, eu saberia com antecedência. Além disso, eu poderia revisar esses IPs e determinar se algum deles são recursos de rede legados que devem ser investigados, e não apenas algum usuário final com software desatualizado.
• Determine quais endereços IP de serviço da web não são conhecidos, para que eu possa rastrear esses serviços.

A razão pela qual estou perguntando e não apenas avançando com a experimentação do tcpdump e do OpenDPI é uma preocupação com o desempenho. Não tenho certeza se ou o que pode acontecer quando eu espelhar uma porta Gigabit. Pode ser difícil não apenas capturar essa informação (lembre-se que eu não quero um dump de pacote, apenas informações de tipo de cabeçalho, e pode ser recolhido registros, eu não preciso saber todas as conexões, apenas o src / dst / protocolos únicos), mas para determinar se a captura é malsucedida. por exemplo. como eu saberia que 50% das conexões foram ignoradas?

Eu provavelmente executaria isso por uma semana para permitir que um perfil de usuário fosse criado.

Se alguém tiver alguma sugestão ou recomendação, sou todo ouvidos. Obrigado.