ネットワークで実行されているuTorrentクライアントはいくつですか？

PCのセットへのルーター接続はどうですか？
ルーターがミラーリングできる単一のリンクの場合、
これらのパケットをSnortクラスフィルターに通して、BitTorrentシグニチャを検出できます。
^{ポートをミラーリングできない場合でも、3ポートハブを接続してトラフィックをSnortに「タップ」することができます。}

一致するパケットの送信元IPアドレスは、一般にBitTorrentの使用を示します（そのuTorrentを知っている場合は一致しますが、一般に、これらのPCでビットトレントアプリケーションが使用されているかどうかを知りたいと思います）。

これはパッシブチェックになります。PCにアクセスする必要はなく、それらのPCユーザーはチェックしていることを知りません。
^{さらに一歩進んで、Snortを（ミラーリングされたパス上ではなく）インラインに保つと、（ほとんどの）BitTorrentアクティビティをブロックすることもできます。}

• これは、 Snort を使用したBitTorrentの検出の詳細に関する最近のプレゼンテーションです（PDFファイル）。
• BitTorrent検出に関する O'Reilly Snortクックブックへの別のWikiリファレンス 。
• Snortの設定に関する古い記事
• Cisco/Juniper span-port（ポートミラーリング）リファレンス （プラットフォームが異なる場合があります）

一度/そのようなシステムをセットアップすると、他の多くのセキュリティチェックにそれを活用できます
（Snortについてもう少し読んでください）。

うん、そのためにwiresharkを使用できると思います。

少なくともネットワークトラフィック分析では、それができるとは思いません。

ほとんどのBitTorrentクライアントでは、ランダムなポートを設定し、データを交換するときに暗号化を使用できます。

あなたの唯一の望みは、トラッカーとのデータ交換を盗聴することです。運が良ければ、それが通常の暗号化されていないHTTPであることが判明した場合は、それに基づいて仮定を立てることができます。

徹底的なnmapスキャンを使用して、開いているポートとリッスンしているポートを判別できます。ホストがuTorrentである可能性のある高いポートでリッスンしている場合は、uTorrentのドキュメントで、通常選択するポートを確認してください。つまり、約40k〜50kです。

例：

Pingに応答しない場合でも、1つのホストをスキャンします。

nmap -sS -P0 -p 1-65535 192.168.0.12

Pingに応答するすべてのホストをスキャンします。

nmap -sS -p 1-65535 192.168.0.0/24

上記の例では、ネットワークが192.168.0.0/24サブネットにあることを前提としています。問題のPCのIPがわかっている場合は、コマンドにすべてのIPを入力すると、時間を大幅に節約できます。詳細については、 nmapのマニュアルページ を参照してください。

開いているポートを見つけたら、次の方法で実際にuTorrentが実行されていることを確認できると思います。

telnet hostip openport

もちろん、これは、スキャン時にマシンが実行中でuTorrentが実行されていることも前提としています。定期的なチェックのために、上記のコマンドのバッチスクリプトを作成し、その結果をファイルに出力できます。

私がそれについて考えるとき、私はもっと優雅な方法があると確信しています。たとえば、ルーターでrflowを実行し、コンピューターでntopを実行します。

ネットワーク上でのパケットスニッフィングに加えて、それらすべてでuTorrentのWebインターフェイスを有効にすることができます。次に、 http://192.168.1.10:8080/gui に移動します。ここで、192.168.1.10はコンピューターのIPアドレスであり、Webインターフェイスが実行されているかどうかの手がかりが得られます。 uTorrentもそうです。