Networking 使用IP或TCP数据包长度分析传输的数据量_Networking_Tcp Ip_Pcap_Tcpdump_Dpkt

Networking 使用IP或TCP数据包长度分析传输的数据量

networking

Networking 使用IP或TCP数据包长度分析传输的数据量,networking,tcp-ip,pcap,tcpdump,dpkt,Networking,Tcp Ip,Pcap,Tcpdump,Dpkt,我对网络流量很陌生。我正在努力获取互联网流量中每秒传输的数据量。我下载了一个pcap文件，我正在使用tcpdump来分析它。通过运行 tcpdump -tttt -v -r sample.pcap 我得到一些如下的记录： 21:00:00.539514 IP (tos 0x0, ttl 118, id 0, offset 0, flags [none], proto ICMP (1), length 32) 111.195.18.190 > host-203-203-22-140.ne

我对网络流量很陌生。我正在努力获取互联网流量中每秒传输的数据量。我下载了一个pcap文件，我正在使用tcpdump来分析它。通过运行

 tcpdump -tttt -v -r sample.pcap

我得到一些如下的记录：

21:00:00.539514 IP (tos 0x0, ttl 118, id 0, offset 0, flags [none], proto ICMP (1), length 32)
111.195.18.190 > host-203-203-22-140.net: ICMP echo reply, id 11884, seq 4803, length 12

根据教程（），第一个长度（32）是整个IP数据包长度，第二个长度（12）是TCP数据包长度

我想知道两台主机之间传输了多少数据。我应该使用哪一种，IP长度、TCP长度还是其他什么？

应用程序数据（可能是视频、消息、图片等）通过较低层的几个标头（TCP标头（第4层）、IPv4标头（第3层）、以太网标头（第2层）等）发送。 TCP数据包是应用程序数据+TCP报头，IPv4数据包是TCP数据包+IPv4报头，依此类推

IP数据包长度是TCP数据包长度+IP报头长度。这就是第一个长度和第二个长度不同的原因

两台主机之间的网络设备可能会更改标头，因此无法考虑两台主机之间传输了多少数据。

如果您想知道pcap文件中每个数据包的长度，请运行

tcpdump-e-r sample.pcap

并查看每行的第一个长度。

在哪个网络层？第2层有一个头，第3层有一个头，第4层有一个头，应用协议可能有一个头。@RonMaupin对不起，我不知道网络层。我的意思是在这个过程中传输的实际数据。你说的“实际数据”是什么意思？你能举个例子吗？@kaitoy对不起，我之前的解释很混乱。我的意思是指在两台主机之间传输的所有数据，例如发送方/接收方地址，发送方想要发送的数据（可能是视频、消息、图片等）。我不明白为什么TCP和IP数据包的长度不同。它们是否包含不同的信息？