tcpdump i podwójne liczenie pakietów

Serwery i sieci oparte na Slackware, wszelkiego rodzaju usługi, troubleshooting.

Moderatorzy: Moderatorzy, Administratorzy

Awatar użytkownika
aksnet
Użytkownik
Posty: 70
Rejestracja: 2008-03-02, 19:09
Lokalizacja: z 10.0.1.1

tcpdump i podwójne liczenie pakietów

Post autor: aksnet » 2015-04-28, 11:57

Witam

Kiedy w tcpdump wyświetlam pakiety przechodzące przez wszystkie interfejsy:

Kod: Zaznacz cały

tcpdump -i any
otrzymuję np:

Kod: Zaznacz cały

22:43:23.054786 IP 188.47.193.12.https > 10.0.2.16.5142: Flags [.], seq 932201231:932202663, ack 3043708293, win 38048, length 1432
22:43:23.054792 IP 188.47.193.12.https > 10.0.2.16.5142: Flags [.], seq 0:1432, ack 1, win 38048, length 1432
22:43:23.054795 PPPoE  [ses 0x3c0] IP 188.47.193.12.https > 10.0.2.16.5142: Flags [.], seq 0:1432, ack 1, win 38048, length 1432
22:43:23.054797 PPPoE  [ses 0x3c0] IP 188.47.193.12.https > 10.0.2.16.5142: Flags [.], seq 0:1432, ack 1, win 38048, length 1432
22:43:23.055059 PPPoE  [ses 0x3c1] IP 10.0.2.13.49321 > dcs-188-64-85-39.redcdn.pl.http: Flags [.], ack 4294400547, win 376, length 0
22:43:23.055059 PPPoE  [ses 0x3c1] IP 10.0.2.13.49321 > dcs-188-64-85-39.redcdn.pl.http: Flags [.], ack 1, win 376, length 0
22:43:23.055059 IP 10.0.2.13.49321 > dcs-188-64-85-39.redcdn.pl.http: Flags [.], ack 1, win 376, length 0
22:43:23.055071 IP 10.0.2.13.49321 > dcs-188-64-85-39.redcdn.pl.http: Flags [.], ack 1, win 376, length 0
22:43:23.055082 IP lyr212.internetdsl.tpnet.pl.49321 > dcs-188-64-85-39.redcdn.pl.http: Flags [.], ack 4294400547, win 376, length 0
22:43:23.055864 IP 10.0.0.1.ssh > 10.0.1.1.2472: Flags [P.], seq 3790963973:3790964181, ack 4064625481, win 18144, length 208
22:43:23.055872 IP 10.0.0.1.ssh > 10.0.1.1.2472: Flags [P.], seq 0:208, ack 1, win 18144, length 208
22:43:23.055875 PPPoE  [ses 0x23] IP 10.0.0.1.ssh > 10.0.1.1.2472: Flags [P.], seq 0:208, ack 1, win 18144, length 208
22:43:23.055877 PPPoE  [ses 0x23] IP 10.0.0.1.ssh > 10.0.1.1.2472: Flags [P.], seq 0:208, ack 1, win 18144, length 208
22:43:23.056056 PPPoE  [ses 0x373] IP 10.0.1.48.37771 > 90.84.60.120.https: Flags [P.], seq 3800640495:3800640564, ack 1535880635, win 16407, length 69
22:43:23.056056 PPPoE  [ses 0x373] IP 10.0.1.48.37771 > 90.84.60.120.https: Flags [P.], seq 0:69, ack 1, win 16407, length 69
22:43:23.056056 IP 10.0.1.48.37771 > 90.84.60.120.https: Flags [P.], seq 0:69, ack 1, win 16407, length 69
22:43:23.056074 IP 10.0.1.48.37771 > 90.84.60.120.https: Flags [P.], seq 0:69, ack 1, win 16407, length 69
22:43:23.056113 IP 193.19.166.173.37771 > 90.84.60.120.https: Flags [P.], seq 3800640495:3800640564, ack 1535880635, win 16407, length 69
22:43:23.173916 IP 193.19.166.170.34368 > dns.tpsa.pl.domain: 63205+ PTR? 172.166.19.193.in-addr.arpa. (45)
22:43:23.174230 PPPoE  [ses 0x379] IP 10.0.1.34.34514 > ns341861.ip-37-187-161.eu.http: Flags [.], ack 909454648, win 65335, length 0
22:43:23.174230 PPPoE  [ses 0x379] IP 10.0.1.34.34514 > ns341861.ip-37-187-161.eu.http: Flags [.], ack 1, win 65335, length 0

Jak widać wiele pakietów jest liczonych podwójnie. Program, który potem przetwarza te dane liczy mi podwójnie pasmo (np. na wykresie zamiast 4Mbit dostaję 8Mbit).

Czy jest jakiś sposób w tcpdump aby ten sam pakiet przechodzący rzez kilka interfejsów był liczony tylko raz?

PS.
Może jest jakiś sposób aby liczyć tylko pakiety przechodzące wyłącznie przez interfejsy PPP (kilkadziesiąt interfejsów PPP) ?

aksnet

ODPOWIEDZ