我创建了一个 tcpdump 文件:
tcpdump -i eth0 host xxx.208.xxx.59 -n -s 0 -vvv -w /tmp/dump.dmp
持续时间约为3小时。
该文件现在有 450 MB。我现在可以说 IP xxx.208.xxx.59 在 3 小时内产生了 450 MB 的流量吗?
答案1
是的,可能,但不一定。
pcap 文件不仅仅是逐字节表示发送/接收的流量。导致不准确的因素包括:
- pcap 文件开销。例如,每个数据包都有时间戳。
- pcap 的“数据包”概念与您对“数据包”构成的理解存在阻抗不匹配。pcap 文件将包含所有内容,包括链路层报头,而链路层报头很少被视为客户流量限额的一部分,以用于计费目的。
- 丢失数据包。pcap 层不保证所有数据包都会被真正传输到 tcpdump 的精心照料下。许多数据包可能已被丢弃(出于各种原因),并且它们不包含在您看到的计数中。
如果您想要计算流量,请使用从核心检索的端口或网络流统计信息进行正确执行。
答案2
我认为是的。据我所知,写入器 (-w) 将数据包逐字节写入 /tmp/dump.dmp。但我只有 80% 的把握...
这也包括标题信息,但是应该计算到吞吐量统计中。