A análise de protocolo não é difícil, mas é tediosa. O processo básico é iterativo, com os resultados da etapa anterior servindo como entrada para a próxima etapa da análise. Basicamente, você está sempre comparando o que deveria estar acontecendo com o que está acontecendo e anotando as anomalias.
Eu sugeriria começar com uma captura de pacote bruta com um filtro simples para limitar a captura às sub-redes problemáticas. Dependendo do protocolo da camada de aplicação, eu limitaria o tamanho da captura a ~ 100 bytes ou mais - o suficiente para obter os cabeçalhos do protocolo TCP e da camada inferior, bem como um pouco da camada de aplicação.
Uma vez que você saiba que tem um exemplo do comportamento problemático, carregue a captura bruta de pacotes em seu analisador de protocolo de escolha - tcpdump, wireshark, Netscout Sniffer, o que for. Agora você pode começar a procurar mais padrões que permitam isolar o tráfego do problema. Se você puder isolar o tráfego, poderá analisá-lo.
No comentário, mas fez uma boa recomendação para filtragem baseada em quadros SYN / ACK e ver se há endereços IP que possuem um grande número de conexões abertas.
Você pode então verificar as conexões desses endereços IP e contar quantos ficam ociosos e quantos trocam dados reais.
Dê uma olhada nos dados que estão sendo trocados. Os dados do Application Layer Protocol fazem sentido para o seu aplicativo? Conte o número de conexões em que faz sentido versus as conexões com anomalias.
Para alguns problemas bem conhecidos, os engenheiros especialistas foram criados para automatizar parte desse trabalho. Na minha opinião, isso é maior do que o IDS, um Expert Engine ou um conjunto de Expert Engines, que automatizam a análise de capturas de pacotes. Você pode encontrar um pacote que faça a análise que você precisa fazer. Enquanto isso, você pode começar a analisar os dados que você tem.
Se tudo que você tem é o tcpdump, você tem que usá-lo, mas eu prefiro os analisadores gráficos de protocolo, especialmente se tiver alguma funcionalidade de tabulação ou de gráficos. A GUI ajuda a visualizar os dados e muitos convenientemente codificam as partes do pacote para facilitar a leitura.