Sim, talvez não necessariamente.
Um arquivo pcap não é simplesmente uma representação byte por byte do tráfego que foi enviado / recebido. As coisas que contribuirão para imprecisões incluem:
- sobrecarga do arquivo pcap. Cada pacote é timestamped, por exemplo.
- Incompatibilidade de impedância entre a idéia de pcap de um "pacote" e sua compreensão do que constitui um "pacote". O arquivo pcap terá tudo, incluindo o cabeçalho da camada de link, que raramente é considerado parte da permissão de tráfego do cliente para fins de faturamento.
- Pacotes ausentes. A camada pcap não garante que todos os pacotes serão realmente transferidos para o cuidado gentil do tcpdump. Muitos pacotes podem ter sido descartados (por várias razões) e não farão parte da contagem que você vê.
Se você deseja contabilizar o tráfego, faça isso corretamente, com as estatísticas de porta ou netflow recuperadas de seu núcleo.