Eu executo o tcpdump em um modem USB no modo de placa de rede.
[ 18.260000] cdc_ncm 1-1.1:1.1 wwan0: register 'cdc_ncm' at usb-ehci-platform-1.1, Mobile Broadband Network Device, 0c:5b:8f:27:9a:64
Eu corri por vários minutos e também execute ifconfig antes e depois para ver a diferença dos contadores.
{
sh -c '
fn1() {
date
echo $1
ifconfig wwan0
echo
} >&2
fn1 before
tcpdump -i wwan0 -w - &
sleep 600
kill $!
wait
fn1 after
' >day3.pcap
} 2>&1 | tee day3.txt
Resultado:
Sun Jul 26 13:37:32 AST 2015
before
...
RX packets:45568603 errors:0 dropped:0 overruns:0 frame:0
TX packets:42531282 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:1843669466 (1.7 GiB) TX bytes:2947749207 (2.7 GiB)
tcpdump: listening on wwan0, link-type EN10MB (Ethernet), capture size 65535 bytes
44788 packets captured
44802 packets received by filter
0 packets dropped by kernel
Sun Jul 26 13:47:32 AST 2015
after
...
RX packets:45585747 errors:0 dropped:0 overruns:0 frame:0
TX packets:42558941 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:1845868782 (1.7 GiB) TX bytes:3158560778 (2.9 GiB)
Como você pode ver, o número de pacotes é quase o mesmo.
day3.pcap tem apenas 12Mb de tamanho
$ tshark -r day3.pcap -z io,stat,0,"SUM(frame.len)frame.len" | tail -5
| |1 | |
| Interval | SUM | |
|---------------------------| |
| 0.0 <> 599.6 | 12087649 | |
===================================
Por que o ifconfig mostra uma diferença de 200Mb? 213010887/44803 = 4754. O que? MTU é apenas 1500
Algumas versões mais antigas do tcpdump truncam os pacotes que eles capturam, aqui está um pouco de informação sobre isso . Isso faria com que ele armazenasse menos dados do que os recebidos na interface.
Com base nas contagens de pacotes em ambos, suponho que não seja um firewall ou um erro de switch de modo promíscuo, algumas interfaces se recusam a entrar no modo promíscuo e reduzem o tráfego para outros endereços MAC.