Назад | Перейти на главную страницу

Какие данные недоступны для tcpdump в отличие от инструментов статистики интерфейса?

Я анализирую логи на конкретном интерфейсе и задаюсь вопросом, почему эта команда во время небольшого нагрузочного теста:

tcpdump -i enp21s0f0 -s0 -w /tmp/dump2.cap`

поймал всего 75 Мб, когда

ethtool -S enp21s0f0 / ifconfig enp21s0f0 

показал около 80 МБ данных (я сравнил rx_bytes и tx_bytes до и после теста, чтобы получить это значение).

После этого я проделал тот же тест для одного пакета ARP (несколько раз), и tcpdump поймал 64 байта, но ethtool показал 68 байтов. Итак, что содержится в этих 4 байтах и ​​можно ли их поймать? Или, по крайней мере, спрогнозировать их?

Причина в трафике, добавленном драйвером NIC, который виден только между двумя интерфейсами:

  1. Разгрузка большого сегмента
  2. Последовательность проверки кадра

Получить этот трафик с помощью tcpdump можно после применения команд:

  • ethtool --offload enp21s0f0 rx off tx off
  • ethtool -K enp21s0f0 rx-fcs на