我正面临着一个想不通的问题。
我的目标是 比较pcaps和测量捕获的损失。场景:我从笔记本电脑A通过WiFi将数据(1,5 GB的文件)发送到共享目录B上。 我通过WiFi从笔记本A发送数据(1,5 GB的文件)到笔记本B的共享目录,在笔记本A上,我在发送wlan适配器上运行Wireshark捕获(在promencuose模式下)。在这些笔记本电脑之间,我有一个sniffer(路由器与wlan在监控模式下),在监控模式下捕获WiFi流量=原始802.11帧。在文件传输完成后,我停止在两个设备上捕获。现在,我想做的是比较这两个pcap文件,测量framepacketdata损失=如果我用sniffer捕获了所有的数据,有多少数据丢失。问题是,笔记本A的pcap包含了TCP协议和其他的数据包,但是sniffer的pcap包含了原始帧(没有协议)。我捕捉到了握手,而且我知道我的WiFi密码,所以我能够解密一些流量来查看数据包和协议,比如tcp。
所以我的 疑问 是,我如何从这两个pcap文件中比较流量(数据传输)?是否可以将序列号导出并进行比较?
笔记本A的Pcap文件有1,7 GB,sniffer的文件有1,3 GB.所以当传输的文件有1,5 GB时,我假设我没有捕获所有的流量,但我需要现在有多少帧包我错过了。
你在监控模式下捕获的数据包会有假的以太网头。所以在嗅探器上丢失了多少帧的问题其实并不相关。对于在wlan模式下捕获的同一个数据包,你可能会在嗅探器上捕获到不同数量的带有802.11头的数据包(一些捕获,一些丢失)。你唯一能测量的是发送和捕获了多少数据。试着在Wireshark中加载pcap文件,过滤掉信标垃圾,然后只导出嗅探器的数据部分。然后比较wlan接口的数据部分和sniffer捕获导出的数据大小。