У меня есть один захват пакета (полученный через tcpdump), который содержит записи потока между экспортером и сборщиком.

Я хочу определить пропускную способность данного интерфейса, используя поле байтов (октетов) в записи v9. Я отфильтровал сеть, которую хочу, вот так:

tshark -r input.pcap -Y "ip.src == X.X.X.X" -F pcap -w filtered.pcap

Далее я отфильтровал до интерфейса, который мне нужен, вот так:

tshark -r filtered.pcap -Y "cflow.inputint == Y" -F pcap -w filtered2.pcap

После этого я потерялся. Есть ли лучший инструмент для объединения потоков для увеличения пропускной способности?

Любая помощь будет принята с благодарностью!

2
cjphlo 31 Окт 2018 в 20:47

1 ответ

Лучший ответ

Вы можете попробовать распечатать поля netflow, а затем обработать результаты.

Например:

tshark -T fields -e cflow.version -e cflow.srcaddr -e cflow.dstaddr -e cflow.octets -e cflow.timedelta -e cflow.abstimestart

Имена полей отображаются в строке состояния wirehark при выборе сведений о пакете.


Лучший вариант:

  1. установите или скомпилируйте https://github.com/phaag/nfdump с флагом --enable-readpcap.

  2. обработать ваш pcap nfcapd -f <path to your pcap file> -l <path to output directory> -T all

  3. подсчитать статистику nfdump -o extended -r <path to output directory>

0
L.R. 4 Ноя 2018 в 11:12