Question

У меня есть один захват пакета (полученный через tcpdump), который содержит записи потока между экспортером и сборщиком.

Я хочу определить пропускную способность через данный интерфейс, используя поле байтов (октетов) в записи v9. Я отфильтровал до сети, которую я хочу, вот так:

tshark -r input.pcap -Y "ip.src == X.X.X.X" -F pcap -w filtered.pcap

Далее я отфильтровал до нужного мне интерфейса:

tshark -r filtered.pcap -Y "cflow.inputint == Y" -F pcap -w filtered2.pcap

Я потерян после этого. Есть ли лучший инструмент для агрегации по потокам для получения пропускной способности?

Любая помощь будет принята с благодарностью!

L.R. · Answer 1 · 04 ноября 2018

Вы можете попытаться напечатать поля netflow и затем обработать результаты.

Например:

tshark -T fields -e cflow.version -e cflow.srcaddr -e cflow.dstaddr -e cflow.octets -e cflow.timedelta -e cflow.abstimestart

Имена полей отображаются в строке состояния Wireshark при выборе сведений о пакете.

Лучший вариант:

установить или скомпилировать https://github.com/phaag/nfdump с флагом --enable-readpcap.
обработать ваш pcap nfcapd -f <path to your pcap file> -l <path to output directory> -T all
статистика подсчета nfdump -o extended -r <path to output directory>

Определение пропускной способности из pcap, содержащего записи потока

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Определение пропускной способности из pcap, содержащего записи потока

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы