那些遇到过的问题

tcpdump 文件大小 == 流量大小?

Dan*_*zzz 3 packet-sniffer tcpdump sniffing

我创建了一个 tcpdump 文件:

tcpdump -i eth0 host xxx.208.xxx.59 -n -s 0 -vvv -w /tmp/dump.dmp
Run Code Online (Sandbox Code Playgroud)

持续时间约为3小时。

此文件现在有 450 MB。我现在可以说 IP xxx.208.xxx.59 在 3 小时内产生了 450 MB 的流量吗?

wom*_*ble 7

是的,也许,不一定。

pcap 文件不仅仅是发送/接收的流量的逐字节表示。会导致不准确的因素包括:

  • pcap 文件开销。例如,每个数据包都有时间戳。
  • pcap 的“数据包”概念与您对“数据包”构成的理解之间的阻抗不匹配。pcap 文件将包含包括链路层标头在内的所有内容,出于计费目的,很少将其视为客户流量限额的一部分。
  • 丢失数据包。pcap 层不保证所有数据包实际上都会被传输到 tcpdump 的温和处理中。许多数据包可能已被丢弃(出于各种原因),并且它们不会成为您看到的计数的一部分。

如果要考虑流量,请使用从核心检索的端口或网络流量统计信息正确执行。

  • @Danzzz - 不,他的意思是在 ** 交换机端口** 上执行您的记帐。这与 IP 端口无关。 (2认同)

归档时间:

查看次数:

1445 次

最近记录:

13 年,3 月 前
相关归档
网络和子网掩码上的 tcpdump 过滤器 27
CoreOS:tcpdump 神秘解决网络问题(使用过多的套接字) 14
tcpdump 中的“未知 SSAP”和“未知 DSAP”是什么意思? 6
tcpdump 返回数据包前延迟一秒 6
静默启动Wireshark 5
在捕获到一定数量的数据包后,如何让 tcpdump 停止捕获? 5
如何仅使用 tcpdump 过滤保持活动的数据包 5
tcpdump 文件大小 == 流量大小? 3
tcpdump 停止后只显示输出 3
如何在 Mac 和 Linux 上使用 tcpdump 从现有的 tcp 套接字转储原始数据包? 1
难疑归档
将http重定向到https是否不好? 255
如何在不重新启动的情况下添加 Windows 环境变量? 201
为什么不推荐 DNS 故障转移? 180
authorized_keys 和authorized_keys2 之间有什么区别? 169
我如何要求 apt-get 跳过任何交互式安装后配置步骤? 168
站点可用与站点启用与 conf.d 目录(Nginx)的区别? 157
是否可以在没有密码的情况下生成 RSA 密钥? 137
为什么 MX 记录不能指向 IP 地址? 94
Ansible:仅在指定标签时执行任务 90
如何在不重启的情况下重新加载默认的 Mac OSX 路由表 78