Мне и сейчас не понятно, что ты хочешь.
Говорю про TCP (про UDP не знаю). Нужна обработка расширением событий отправки и поступления по соединению данных, возможно открытия/закрытия соединения.
Там нет стандартных заголовков запросов и ответов, нет объявленных типов данных, нет стандартного способа определения длины данных.
Конечно же есть. У каждого протокола есть, просто они отличаются друг от друга. И я не прошу тебя писать эти анализаторы. Они могут быть написаны в виде расширений. Дай просто доступ расширению к данным, бегущим по соединениям.
Как тут извлечь реальную пользу я не вижу
Мне, например, нужно анализировать почту и ICQ.
вред в виде лишней нагрузки просматривается
Не нужно - не подключаешь такое расширение, вот и все.