On en vient à ce que je disais au début. Cela à du sens lorsqu’on suspecte quelque chose, et qu’on sait déja à peu prêt ce qu’on cherche.
Dans ce cas je préfère analyser des captures wiresharck à froid.
Pour le P2P, je pense qu’il doit y avoir une signature de trafic dans Snort, au pire ça se paramètre assez facilement. Pour le reste, youtube & co, là effectivement Snort est inefficace et rien d’autre qu’un contrôle poste par poste pourra faire ce travail. Ce cas est quand même hautement improbable dans la mesure où quand on fait appel à ce service, ces causes sont déjà éliminées.
Des simples stats sur les paquets (IP,port origine et IP,port destination) permettent en général d’avoir une idée du pbm et du coupable. Ensuite tu peux faire une écoute ciblée.