Я скинув мережевий трафік за допомогою наступної команди:
tcpdump -w myfile.dump
Тепер я хочу знати, скільки даних було передано. Я думаю, що розмір файлу не дорівнює розміру переданих даних, оскільки дамп-файл містить і метадані.
Як я можу це зробити?
Відповіді:
Ви можете відкрити дамп-файл за допомогою wireshark, щоб використовувати його фільтри та статистику для отримання потрібного. Щоб дізнатися інструкції щодо фільтрування, перегляньте цю сторінку з форуму wireshark: https://ask.wireshark.org/questions/9805/measure-the-total-transmitted-byte-in-a-time-interval
Ви маєте рацію, розмір файлу не відображає кількість переданих даних: формат pcap містить додаткові метадані.
Одним із приємних інструментів для отримання фактичного розміру даних є використання capinfos, що є частиною wireshark-commonпакету.
Приклад виводу, зверніть увагу на значення розміру даних :
$ capinfos plop.pcap
File name: plop.pcap
File type: Wireshark/tcpdump/... - pcap
File encapsulation: Linux cooked-mode capture
File timestamp precision: microseconds (6)
Packet size limit: file hdr: 262144 bytes
Number of packets: 2049
File size: 335 kB
Data size: 302 kB
Capture duration: 88.022993 seconds
First packet time: 2017-08-22 09:48:45.233556
Last packet time: 2017-08-22 09:50:13.256549
Data byte rate: 3442 bytes/s
Data bit rate: 27 kbps
Average packet size: 147.88 bytes
Average packet rate: 23 packets/s
SHA1: 51ce5b43206995385ef7f95948848cf6a869367e
RIPEMD160: fe861b6f16816d952c7a6c88bec63cb30246d125
MD5: 5ee593b0a5631c42cfebdc20ff0086e7
Strict time order: False
Number of interfaces in file: 1
Interface #0 info:
Encapsulation = Linux cooked-mode capture (25/113 - linux-sll)
Capture length = 262144
Time precision = microseconds (6)
Time ticks per second = 1000000
Number of stat entries = 0
Number of packets = 2049