我有一个数据包捕获(通过tcpdump获取),其中包含导出器和收集器之间的流记录。
我想使用v9记录中的字节(八位字节)字段确定给定接口的吞吐量。我已经过滤到想要的网络:
tshark -r input.pcap -Y "ip.src == X.X.X.X" -F pcap -w filtered.pcap
我进一步过滤到所需的界面,如下所示:
tshark -r filtered.pcap -Y "cflow.inputint == Y" -F pcap -w filtered2.pcap
那之后我迷路了。是否有更好的工具来汇总流以获取吞吐量?
任何帮助将不胜感激!
答案 0 :(得分:0)
您可以尝试打印netflow字段,然后处理结果。
例如:
tshark -T fields -e cflow.version -e cflow.srcaddr -e cflow.dstaddr -e cflow.octets -e cflow.timedelta -e cflow.abstimestart
选择数据包详细信息时,字段名称在Wireshark状态栏中可见。
更好的选择:
使用--enable-readpcap标志安装或编译https://github.com/phaag/nfdump。
处理您的pcap nfcapd -f <path to your pcap file> -l <path to output directory> -T all
计数统计信息nfdump -o extended -r <path to output directory>