Используйте длину пакета IP или TCP для анализа количества переданных данных

Question

Я довольно новичок в сетевом трафике. Я пытаюсь получить размер данных, передаваемых каждую секунду в интернет-трафике. Я загрузил один файл pcap, и я использую tcpdump для его анализа. При запуске

tcpdump -tttt -v -r sample.pcap 

я получить некоторые записи, как показано ниже:

21:00:00.539514 IP (tos 0x0, ttl 118, id 0, offset 0, flags [none], proto ICMP (1), length 32) 
111.195.18.190 > host-203-203-22-140.net: ICMP echo reply, id 11884, seq 4803, length 12 

В соответствии с обучающим (http://packetpushers.net/masterclass-tcpdump-interpreting-output/), первой длиной (32) по всей длине IP-пакет, а вторая длиной (12) - длина пакета TCP.

Я хочу знать, сколько данных передано между двумя хостами. Какой из них следует использовать, длину IP, длину TCP или что-то еще?

Answer 1

Данные приложения (возможно, видео, сообщение, изображение и т. Д.) Отправляются с несколькими заголовками нижних уровней (заголовок TCP (уровень 4), заголовок IPv4 (уровень 3), заголовок Ethernet (слой 2) , и т.д.). TCP-пакет - это данные приложения + TCP-заголовок, пакет IPv4 - это TCP-пакет + заголовок IPv4 и так далее.

Длина IP-пакета - длина пакета TCP + длина IP-заголовка. Вот почему первая длина и вторая длина различны.

Заголовки могут быть изменены сетевыми устройствами между двумя хостами, поэтому невозможно подумать о том, сколько данных передано между ними. Если вы хотите узнать длину каждого пакета в файле pcap, запустите tcpdump -e -r sample.pcap и просмотрите первую длину каждой строки.