我有一个巨大的pcap文件,其中有数千个tcpstream,我需要将这些tcpstream分开并找出每个tcpstream的数据包丢失,我正在尝试TSHARK(http://www.faultserver.com/q/answers-how-to-calculate-packet-loss-from-a-binary-tcpdump-file-336588.html),这可以帮助我找出数据包丢失,重传但它对整个pcap文件的剂量。我希望在我的Linux机器上获得单独的tcpstream。
提前致谢。 耆那
答案 0 :(得分:0)
使用以下tshark命令对我有用:
以“root”用户身份运行并将“root”组分组。这可能很危险。
=============================================== ====================
IP地址11974 0.003422 27.61.14.188 9729 0.002781 81.25% 192.168.44.44 11974 0.003422 100.00% 101.223.166.12 311 0.000089 2.60% 223.178.146.17 325 0.000093 2.71% 223.228.148.15 465 0.000133 3.88% 223.182.31.6 313 0.000089 2.61% 117.96.87.7 711 0.000203 5.94% 171.78.138.26 120 0.000034 1.00%
=============================================== ====================
tshark -r trace_2013-11-22_16:03:22.pcap -q io,stat,12000,“ip.addr == 27.61.14.188#&& tcp”,“COUNT(tcp.analysis.retransmission )ip.addr == 27.61.14.188&& tcp.analysis.retransmission“,”COUNT(tcp.analysis.duplicate_ack)ip.addr == 27.61.14.188&& tcp.analysis.duplicate_ack“,”COUNT (tcp.analysis.lost_segment)ip.addr == 27.61.14.188&& tcp.analysis.lost_segment“,”COUNT(tcp.analysis.fast_retransmission)ip.addr == 27.61.14.188&& tcp.analysis .fast_retransmission“
以“root”用户身份运行并将“root”组分组。这可能很危险。
=============================================== ==================== IO统计 间隔:12000.000秒 第0列:ip.addr == 27.61.14.188&& TCP 第1列:COUNT(tcp.analysis.retransmission)ip.addr == 27.61.14.188&& tcp.analysis.retransmission 第2列:COUNT(tcp.analysis.duplicate_ack)ip.addr == 27.61.14.188&& tcp.analysis.duplicate_ack 第3列:COUNT(tcp.analysis.lost_segment)ip.addr == 27.61.14.188&& tcp.analysis.lost_segment 第4列:COUNT(tcp.analysis.fast_retransmission)ip.addr == 27.61.14.188&& tcp.analysis.fast_retransmission |列#0 |第1列|第2列|第3列|第4列 时间|帧|字节| COUNT | COUNT | COUNT | COUNT
谢谢, 耆那