Si l'analyse est protocolaire, elle ne s'intéresse pas à une séquence request - respond concernant http et visant à faire connaître l'identité du browser mais à des séquences qui concernent eMule, supportées par un protocole spécifique (je donne la référence ci-après) distinct de http (bien évidemment!).
L'initial handshake qui initie les échanges eMule s'appuie sur TCP et suit un connect TCP . Le message hello émis par le le client eMule, porte l'identifiant du protocole (premier octet du message comprenant la valeur 0xC5). On est bien loin de l'identité du browser!
Le protocole eMule est décrit dans le document:
http://ovh.dl.sourceforge.net/sourceforge/emule/protocol_guide.pdf . Pour l'identification du protocole, voir pages 60 et suivantes.
Quant au filtrage sur les ports, permettez-moi de rire s'agissant des P2P et de vous ramener au lien suivant:
http://www.haypocalc.com/wiki/Liste_des_ports_TCP_et_UDP
Voilà. Je persiste à penser que le point n'est pas réellement éclairé et que les liens fournis donnent des éléments parfaitement (ou à peu près) abscons ...