Linux

與介面統計工具不同,哪些數據不可用於 tcpdump?

  • November 9, 2017

我正在分析特定介面上的日誌,並想知道為什麼在小負載測試期間使用此命令:

tcpdump -i enp21s0f0 -s0 -w /tmp/dump2.cap`

只擷取了 75 MB,當

ethtool -S enp21s0f0 / ifconfig enp21s0f0 

顯示了大約 80 MB 的數據(我比較了測試前後的 rx_bytes&tx_bytes 以獲得這個值)。

之後,我對一個 ARP 數據包(多次)進行了相同的測試,tcpdump 擷取了 64 個字節,但 ethtool 顯示了 68 個字節。那麼,這 4 個字節中包含什麼,是否有可能擷取這些字節?或者,至少,預測他們?

原因是網卡驅動添加的流量,只在兩個介面之間可見:

  1. 大段解除安裝
  2. 幀校驗序列

應用命令後,可以通過 tcpdump 獲取此流量:

  • ethtool –offload enp21s0f0 rx off tx off
  • ethtool -K enp21s0f0 rx-fcs on

引用自:https://serverfault.com/questions/881062