我有一个巨大的 pcap 文件,其中有数千个 tcpstream,我需要分离这些 tcpstream 并找出每个 tcpstream 的数据包丢失,我正在尝试 TSHARK(http://www.faultserver.com/q/answers- how-to-calculate-packet-loss-from-a-binary-tcpdump-file-336588.html),它可以帮助我找出数据包丢失、重传,但它对整个 pcap 文件都是如此。我想在我的 Linux 机器上为单独的 tcpstreams 获取它。
提前致谢。耆那教
使用以下 tshark 命令对我有用:
以用户“root”和组“root”运行。这可能很危险。
==================================================== ==================
IP Addresses 11974 0.003422 27.61.14.188 9729 0.002781 81.25% 192.168.44.44 11974 0.003422 100.00% 101.223.166.12 311 0.000089 2.60% 223.178.146.17 325 0.000093 2.71% 223.228.148.15 465 0.000133 3.88% 223.182.31.6 313 0.000089 2.61% 117.96.87.7 711 0.000203 5.94% 171.78.138.26 120 0.000034 1.00%
==================================================== ==================
tshark -r trace_2013-11-22_16:03:22.pcap -q io,stat,12000,"ip.addr==27.61.14.188 #&& tcp","COUNT(tcp.analysis.retransmission)ip.addr== 27.61.14.188 && tcp.analysis.retransmission","COUNT(tcp.analysis.duplicate_ack)ip.addr==27.61.14.188 && tcp.analysis.duplicate_ack","COUNT(tcp.analysis.lost_segment)ip.addr== 27.61.14.188 && tcp.analysis.lost_segment","COUNT(tcp.analysis.fast_retransmission)ip.addr==27.61.14.188 && tcp.analysis.fast_retransmission"
以用户“root”和组“root”运行。这可能很危险。
==================================================== ================= IO 统计间隔:12000.000 秒第 0 列:ip.addr==27.61.14.188 && tcp 第 1 列:COUNT(tcp.analysis.retransmission)ip .addr==27.61.14.188 && tcp.analysis.retransmission 列 #2: COUNT(tcp.analysis.duplicate_ack)ip.addr==27.61.14.188 && tcp.analysis.duplicate_ack 列 #3: COUNT(tcp.analysis.lost_segment )ip.addr==27.61.14.188 && tcp.analysis.lost_segment 列 #4: COUNT(tcp.analysis.fast_retransmission)ip.addr==27.61.14.188 && tcp.analysis.fast_retransmission | 第 0 列 | 第 1 列 | 第 2 列 | 第 3 列 | 专栏 #4 时间 |帧| 字节 | 计数 | 计数 | 计数 | 数数
谢谢, 耆那教