tcpdump tamanho do arquivo == tamanho do tráfego?

3

Eu criei um arquivo tcpdump:

tcpdump -i eth0 host xxx.208.xxx.59 -n -s 0 -vvv -w /tmp/dump.dmp

duração foi de cerca de 3 horas.

Este arquivo agora tem 450 MB. Posso dizer agora que o IP xxx.208.xxx.59 gerou 450 MB de tráfego em 3 horas?

    
por Danzzz 10.08.2012 / 02:44

2 respostas

7

Sim, talvez não necessariamente.

Um arquivo pcap não é simplesmente uma representação byte por byte do tráfego que foi enviado / recebido. As coisas que contribuirão para imprecisões incluem:

  • sobrecarga do arquivo pcap. Cada pacote é timestamped, por exemplo.
  • Incompatibilidade de impedância entre a idéia de pcap de um "pacote" e sua compreensão do que constitui um "pacote". O arquivo pcap terá tudo, incluindo o cabeçalho da camada de link, que raramente é considerado parte da permissão de tráfego do cliente para fins de faturamento.
  • Pacotes ausentes. A camada pcap não garante que todos os pacotes serão realmente transferidos para o cuidado gentil do tcpdump. Muitos pacotes podem ter sido descartados (por várias razões) e não farão parte da contagem que você vê.

Se você deseja contabilizar o tráfego, faça isso corretamente, com as estatísticas de porta ou netflow recuperadas de seu núcleo.

    
por 10.08.2012 / 02:54
1

Eu diria que sim. Como é do meu conhecimento, o escritor (-w) escreve os pacotes byte-by-byte em /tmp/dump.dmp. Mas tenho apenas 80% de certeza ...

Isso incluiria informações de cabeçalho também, mas isso deve ser calculado na estatística de taxa de transferência.

    
por 10.08.2012 / 02:48