从包含流记录的 pcap 中确定吞吐量
Determining throughput from pcap containing flow records
我有一个数据包捕获(通过 tcpdump 获取),其中包含导出器和收集器之间的流记录。
我想使用 v9 记录中的字节(八位字节)字段确定给定接口的吞吐量。我已经过滤到我想要的网络:
tshark -r input.pcap -Y "ip.src == X.X.X.X" -F pcap -w filtered.pcap
我进一步筛选到我需要的界面,如下所示:
tshark -r filtered.pcap -Y "cflow.inputint == Y" -F pcap -w filtered2.pcap
在那之后我迷路了。有没有更好的工具来聚合流以获得吞吐量?
如有任何帮助,我们将不胜感激!
您可以尝试打印 netflow 字段,然后处理结果。
例如:
tshark -T fields -e cflow.version -e cflow.srcaddr -e cflow.dstaddr -e cflow.octets -e cflow.timedelta -e cflow.abstimestart
当您 select 数据包详细信息时,字段名称在 wireshark 状态栏中可见。
更好的选择:
使用 --enable-readpcap 标志安装或编译 https://github.com/phaag/nfdump。
处理您的 pcap nfcapd -f <path to your pcap file> -l <path to output directory> -T all
计数统计nfdump -o extended -r <path to output directory>
我有一个数据包捕获(通过 tcpdump 获取),其中包含导出器和收集器之间的流记录。
我想使用 v9 记录中的字节(八位字节)字段确定给定接口的吞吐量。我已经过滤到我想要的网络:
tshark -r input.pcap -Y "ip.src == X.X.X.X" -F pcap -w filtered.pcap
我进一步筛选到我需要的界面,如下所示:
tshark -r filtered.pcap -Y "cflow.inputint == Y" -F pcap -w filtered2.pcap
在那之后我迷路了。有没有更好的工具来聚合流以获得吞吐量?
如有任何帮助,我们将不胜感激!
您可以尝试打印 netflow 字段,然后处理结果。
例如:
tshark -T fields -e cflow.version -e cflow.srcaddr -e cflow.dstaddr -e cflow.octets -e cflow.timedelta -e cflow.abstimestart
当您 select 数据包详细信息时,字段名称在 wireshark 状态栏中可见。
更好的选择:
使用
--enable-readpcap标志安装或编译 https://github.com/phaag/nfdump。处理您的 pcap
nfcapd -f <path to your pcap file> -l <path to output directory> -T all计数统计
nfdump -o extended -r <path to output directory>