我有一个巨大的pcap文件,其中有数千个tcpstream,我需要分离这些tcpstream并找出每个tcpstream的数据包丢失情况,我正在尝试TSHARK(http://www.faultserver.com/q/answers-how-to-calculate-packet-loss-from-a-binary-tcpdump-file-336588.html),它可以帮助我找出数据包丢失,重传,但它对整个pcap文件进行了调整。我想在我的 Linux 机器上为单独的 tcpstreams 获取它。
提前致谢。 耆那教
最佳答案
使用以下 tshark 命令对我来说很有效:
tshark -r trace_2013-11-22_16:03:22.pcap -q -z ip_hosts,tree
以用户“root”和组“root”运行。这可能很危险。
======================================================================
IP 地址值(value)百分比
IP 地址 11974 0.003422 27.61.14.188 9729 0.002781 81.25% 192.168.44.44 11974 0.003422 100.00% 101.223.166.12 311 0.000089 2.60% 223.178.146.17 325 0.000093 2.71% 223.228.148.15 465 0.000133 3.88% 223.182.31.6 313 0.000089 2.61% 117.96.87.7 711 0.000203 5.94% 171.78.138.26 120 0.000034 1.00%
======================================================================
tshark -r trace_2013-11-22_16:03:22.pcap -q io,stat,12000,"ip.addr==27.61.14.188 #&& tcp","COUNT(tcp.analysis.retransmission)ip.addr==27.61.14.188 && tcp.analysis.retransmission","COUNT(tcp.analysis.d) uplicate_ack)ip.addr==27.61.14.188 && tcp.analysis.duplicate_ack","COUNT(tcp.analysis.lost_segment)ip.addr==27.61.14.188 && tcp.analysis.lost_segment","COUNT(tcp.analysis.fast_retransmission)ip.addr==27.61.14.188 && tcp.analysis .fast_retransmission"
以用户“root”和组“root”运行。这可能很危险。
===================================================================== IO统计 间隔:12000.000 秒 第 0 列:ip.addr==27.61.14.188 && tcp 第 1 列:COUNT(tcp.analysis.retransmission)ip.addr==27.61.14.188 && tcp.analysis.retransmission 第 2 列:COUNT(tcp.analysis.duplicate_ack)ip.addr==27.61.14.188 && tcp.analysis.duplicate_ack 第 3 列:COUNT(tcp.analysis.lost_segment)ip.addr==27.61.14.188 && tcp.analysis.lost_segment 第 4 列:COUNT(tcp.analysis.fast_retransmission)ip.addr==27.61.14.188 && tcp.analysis.fast_retransmission |第 0 列 |第 1 栏 |第 2 栏 |第 3 栏 |第 4 栏 时间|帧|字节|计数 |计数 |计数 |计数
000.000-12000.000 9729 7519861 393 1900 1 283
谢谢, 耆那教
关于linux - Linux 上用于分离/区分 pcap 文件中的 tcpstreams 的命令,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/20114010/