se o aplicativo usa um protocolo específico, você pode usar um ngrep (para inspeção de pacote) ou um tcpdump (para rastreamento de porta / host). Isso é útil especialmente em um roteador ou um proxy ou DNS (se você puder mapear o aplicativo para um nome de host) para rastrear o uso.
exemplo para ssh:
ngrep SSH-2.0
ou acesso ao site, via dns (DNS pode ser armazenado em cache, mas em um longo prazo você pode ver quem está usando)
ngrep bad.site.org port 53
ou através de conexões ip:
tcpdump host bad.site.org
Finalmente, você pode usar o nmap com a opção -A, para ajudar a mapear a porta para um protocolo específico:
nmap -A 192.168.0.0/16 -p 8000-9000 2>/dev/null | grep "Interesting ports on\|open"
isto mostrará o IP, portas abertas e o protocolo / serviço se o nmap conseguir identificá-lo