Круто разложено по полочкам, Михаил, именно так и должен выглядеть глубокий анализ PCAP. Интересно, что при работе с loopback-трафиком многие инструменты типа NetworkMiner реально начинают пасовать, хотя именно там часто скрываются самые важные детали. Лично я часто использую tshark для быстрых фильтров и выборок через скрипты, особенно когда трафика много и хочется быстро прогонять его по ключевым полям. А как у тебя с автоматизацией, использовал ли ты в этом проекте какие-то кастомные скрипты или дополнял Wireshark тулзами?

Ещё наверняка многие столкнутся с проблемой, когда TLS-трафик не поддается анализу — тут реально помогает вынос в отдельную ловушку на стороне сервера или настройка зеркалирования с ключами. Может, у тебя были кейсы, когда удавалось частично расшифровать TLS-потоки, чтобы достать что-то полезное без полного доступа к приватным ключам? Это было бы круто услышать, потому что чисто вручную копаться в зашифрованном TLS – это уже совсем другая история.