Назад | Перейти на главную страницу

Размер файла tcpdump == размер трафика?

Я создал файл tcpdump:

tcpdump -i eth0 host xxx.208.xxx.59 -n -s 0 -vvv -w /tmp/dump.dmp

Продолжительность около 3 часов.

Теперь этот файл имеет размер 450 МБ. Могу я теперь сказать, что IP xxx.208.xxx.59 сгенерировал 450 Мб трафика за 3 часа?

Да, может быть, не обязательно.

Файл pcap - это не просто побайтовое представление отправленного / полученного трафика. Возможные неточности включают:

  • pcap файл накладных расходов. Например, каждый пакет имеет метку времени.
  • Несоответствие импеданса между представлением pcap о «пакете» и вашим пониманием того, что составляет «пакет». Файл pcap будет содержать все, включая заголовок канального уровня, который редко считается частью разрешенного клиентом трафика при выставлении счетов.
  • Пропавшие пакеты. Уровень pcap не гарантирует, что все пакеты действительно будут переданы tcpdump. Многие пакеты могли быть отброшены (по разным причинам), и они не будут входить в подсчет, который вы видите.

Если вы хотите учитывать трафик, делайте это правильно, используя статистику порта или сетевого потока, полученную из вашего ядра.

Я бы сказал да. Насколько я понимаю, писатель (-w) записывает пакеты побайтно в /tmp/dump.dmp. Но я уверен только на 80% ...

Это также будет включать информацию заголовка, но это должно быть вычислено в статистике пропускной способности.