Linux
與介面統計工具不同,哪些數據不可用於 tcpdump?
我正在分析特定介面上的日誌,並想知道為什麼在小負載測試期間使用此命令:
tcpdump -i enp21s0f0 -s0 -w /tmp/dump2.cap`
只擷取了 75 MB,當
ethtool -S enp21s0f0 / ifconfig enp21s0f0
顯示了大約 80 MB 的數據(我比較了測試前後的 rx_bytes&tx_bytes 以獲得這個值)。
之後,我對一個 ARP 數據包(多次)進行了相同的測試,tcpdump 擷取了 64 個字節,但 ethtool 顯示了 68 個字節。那麼,這 4 個字節中包含什麼,是否有可能擷取這些字節?或者,至少,預測他們?
原因是網卡驅動添加的流量,只在兩個介面之間可見:
- 大段解除安裝
- 幀校驗序列
應用命令後,可以通過 tcpdump 獲取此流量:
- ethtool –offload enp21s0f0 rx off tx off
- ethtool -K enp21s0f0 rx-fcs on