Я анализирую логи на конкретном интерфейсе и задаюсь вопросом, почему эта команда во время небольшого нагрузочного теста:
tcpdump -i enp21s0f0 -s0 -w /tmp/dump2.cap`
поймал всего 75 Мб, когда
ethtool -S enp21s0f0 / ifconfig enp21s0f0
показал около 80 МБ данных (я сравнил rx_bytes и tx_bytes до и после теста, чтобы получить это значение).
После этого я проделал тот же тест для одного пакета ARP (несколько раз), и tcpdump поймал 64 байта, но ethtool показал 68 байтов. Итак, что содержится в этих 4 байтах и можно ли их поймать? Или, по крайней мере, спрогнозировать их?
Причина в трафике, добавленном драйвером NIC, который виден только между двумя интерфейсами:
Получить этот трафик с помощью tcpdump можно после применения команд: