Сразу простите за дурноватый вопрос:
Можно ли считать трафик по полю len из вывода tcpdump`a?
Ведь на сколько я понимаю он юзает тот же pcap что и бльшинство коллекторов.
На сколько это корректно?
Привет,Можно, но не нужно.
Во-первых, что вы считаете трафиком? Например, собираетесь ли считать Ethernet header или нет?
Во-вторых, при мало-мальских нагрузках tcpdump начинает пропускать пакеты - из-за того, что он рабоает в userspace и не успевает "просмотреть" все пакеты. При среднем классе Pentium машины и 50 kps @ 1 KB потери составлют 20% и выше.
Если нужен подсчет трафика, пользуйтесь средствами netfliter (iptables то бишь).
WWell,
>Привет,
>
>Можно, но не нужно.
>
>Во-первых, что вы считаете трафиком? Например, собираетесь ли считать Ethernet header или
>нет?
>
>Во-вторых, при мало-мальских нагрузках tcpdump начинает пропускать пакеты - из-за того, что
>он рабоает в userspace и не успевает "просмотреть" все пакеты. При
>среднем классе Pentium машины и 50 kps @ 1 KB потери
>составлют 20% и выше.
>
>Если нужен подсчет трафика, пользуйтесь средствами netfliter (iptables то бишь).
>
>WWell,Спасибо за ответ.
Считать нужно все, что проходит через интерфейс.
Собсвенно я и буду считать через netfilter только не через iptables а через pf, а tcpdump"ом только разбирать статистику из pflog.