命令，用于在Linux上分离/区分pcap中的tcpstream。

Question

我有一个巨大的pcap，其中有上千个tcpstream，我需要分离这些tcpstream并找出每个tcpstream的丢包情况，我正在尝试TSHARK(http://www.faultserver.com/q/answers-how-to-calculate-packet-loss-from-a-binary-tcpdump-file-336588.html)，它可以帮助我发现丢包、重传，但是它对整个pcap文件来说是这样的。我想在我的Linux盒中为单独的tcpstreams获取它。

提前谢谢。贾恩

Answer 1

对我来说，它使用了以下t鲨命令：

-r trace_2013-11-22_16:03:22

以用户"root“和组"root”的身份运行。这可能很危险。

===================================================================

IP地址值率百分比

IP地址11974 0.003422 27.61.14.188 9729 0.002781 81.25% 192.168.44.44 11974 0.003422 100.00% 101.223.166.12 311 0.000089 2.60% 223.178.146.17 325 0.0000932.71% 223.228.148.15 465 0.000133 3.88% 223.182.31.6 313 0.000089 2.61% 117.96.711 0.000203 5.94% 171.78.138.26 120 0.000034 1.00%

===================================================================

"COUNT(tcp.analysis.retransmission)ip.addr==27.61.14.188 -r -r trace_2013-11-22_16:03:22.pcapt-q io，stat,12000，"ip.addr==27.61.14.188 #& tcp"，"COUNT(tcp.analysis.duplicate_ack)ip.addr==27.61.14.188 & tcp.analysis.retransmission"，“COUNT(tcp.analysis.duplicate_ack)ip.addr==27.61.14.188& tcp.analysis.duplicate_ack"，"COUNT(tcp.analysis.lost_segment)ip.addr==27.61.14.188 && tcp.analysis.lost_segment"，"COUNT(tcp.analysis.fast_retransmission)ip.addr==27.61.14.188 && tcp.analysis.fast_retransmission“

以用户"root“和组"root”的身份运行。这可能很危险。

=================================================================== IO统计间隔: 12000.000秒列#0: ip.addr==27.61.14.188 && tcp列#1: COUNT(tcp.analysis.retransmission)ip.addr==27.61.14.188 && tcp.analysis.retransmission列#2: COUNT(tcp.analysis.duplicate_ack)ip.addr==27.61.14.188 & tcp.analysis.duplicate_ack列#3: COUNT(tcp.analysis.lost_segment)ip.addr==27.61.14.188 & tcp.analysis.lost_segment列#4: COUNT(tcp.analysis.fast_retransmission)ip.addr==27.61.14.188 && tcp.analysis.fast_retransmission

000.000-12000.000 9729 7519861 393 1900 1 283

谢谢你，贾恩