Você pode falar com algo como:
awk '{totalbytes+=$3}END{printf("Total bytes: %d\n",totalbytes)}'
Basta dividir por 1024 para obter kB, se preferir.
Estou usando este comando com tshark:
tshark -r pcapfile "tcp e ip.src == 192.168.1.1" -T texto -V -x | grep 'Comprimento total'
Isso essencialmente analisa o pcap apenas para conexões do ip de origem e procura o comprimento total em bytes de cada pacote. Eu recebo uma saída assim:
Comprimento Total: 125
Comprimento Total: 210
Comprimento total: 40
Comprimento Total: 125
etc, etc ....
O que eu preciso fazer é pegar os números do Comprimento Total e adicioná-los para que eu possa ter uma idéia de quantos dados foram passados no fio no período de tempo do pcap de um único IP. Existe um comando que eu possa adicionar no final do que estou usando para fazer isso?
Você pode falar com algo como:
awk '{totalbytes+=$3}END{printf("Total bytes: %d\n",totalbytes)}'
Basta dividir por 1024 para obter kB, se preferir.
Tags networking tcpdump linux tshark pcap