Les paquets ip sont routés en fonction de leur adresse de destination et de leur adresse d'émission. Ils utilisent un protocole de transport (UDP ou TCP). La session est identifiée par un port source et par un port de destination.

Une connexion (session au sens OSI du terme) entre un processus client et un processus serveur est matérialisée par le couple de triplets :

(@IP-source, TCP/UDP, port source) , (@IP-dest., TCP/UDP, portdest.) 

Une session nous permet de déterminer quelle application (service serveur) est sollicitée.

Figure 59.1. Squelette de trame IP

Ce sont les principaux éléments que nous utiliseront dans le cadre du routage et du filtrage sur un réseau IP. Le schéma nous montre qu'il sera possible de filtrer sur les adresses (hôtes ou réseaux), les protocoles de transport ou les applications en filtrant sur les ports.

La capture de trame ci-dessous, indique bien les éléments présents dans une trame.

Figure 59.2. Capture de trame sur le port 80

L'analyse de trafic va consister à traiter les paquets en fonction d'un certain nombres de critères.