Tente algo assim:
tcpdump -r capturefile.dmp | awk '{ print $3 " " $5 "\n" }' | sort | uniq | wc -l
Assumindo que seu tcpdump gere a mesma saída que o meu, o comando awk irá imprimir a porta IP + de origem e a porta IP + de destino (seguidos por dois pontos, o que é irrelevante neste caso), assim:
zangetsu.smcc.loc.56256 scfire-a28.websys.aol.com.http:
Como uma conexão estabelecida usará os mesmos números de porta novamente, você recolhe essas linhas repetidas com sort | uniq
; wc -l
conta as linhas. Você terá que dividir esse número por 2, já que o IP é bidirecional e reverte a origem / destino ao enviar pacotes de volta.
Você pode filtrar pacotes indesejados para UDP, ICMP e outros com filtros tcpdump e outras coisas com grep
antes da classificação.