2

我有一个数据包捕获(通过 tcpdump 获取),其中包含导出器和收集器之间的流记录。

我想使用 v9 记录中的字节(八位字节)字段来确定给定接口的吞吐量。我已经过滤到我想要的网络:

tshark -r input.pcap -Y "ip.src == X.X.X.X" -F pcap -w filtered.pcap

我进一步过滤到我需要的界面,如下所示:

tshark -r filtered.pcap -Y "cflow.inputint == Y" -F pcap -w filtered2.pcap

在那之后我迷路了。是否有更好的工具来聚合流以获得吞吐量?

任何帮助将不胜感激!

4

1 回答 1

0

您可以尝试打印 netflow 字段,然后处理结果。

例如:

tshark -T fields -e cflow.version -e cflow.srcaddr -e cflow.dstaddr -e cflow.octets -e cflow.timedelta -e cflow.abstimestart

当您选择数据包详细信息时,字段名称在 Wireshark 状态栏中可见。

更好的选择:

  1. 安装或编译带有标志的https://github.com/phaag/nfdump 。--enable-readpcap

  2. 处理你的 pcapnfcapd -f <path to your pcap file> -l <path to output directory> -T all

  3. 计数统计nfdump -o extended -r <path to output directory>

于 2018-11-04T10:28:54.933 回答