[问题求助]如何知道一个应用程序共发出多少数据包? [复制链接]

在做p2p流.量识别中,我利用ipp2p结合iptable来阻止内网用户通过p2p软件来下载东西.可是ipp2p并不能识别出所有的p2p数据包.像emule这个软件还是会下载到数据..现在我想做个试验,想看看ipp2p能识别出的p2p数据包占所有p2p流量的多少?利用iptables -vnL只能看到识别出的总数据包个数及大.小.却不能得到像emule这.样的软件共发出多少数据.包?外贸
有没.有知道.因为怎么做才能知道某一应用软件的流量?无论是linux还是windows下的都行....          婚庆

eMule 能分清，是因为他分析的是电驴的协议，你要做的话也要分析里面具体内容然后分类

我对p2p协议不是很熟悉.我现在只是想测试下ipp2p中对于p2p协议的分析的结果.我在iptables中用,iptables -t filter -I FORWARD -m ipp2p --ipp2p -j DROP命令,然后在内网中打开emule下载资源,虽然有许多数据包能被拦截,可还是有部分漏网之鱼.我现在主要想知道的就是拦截的数据包占总数据分的百分之几,也就是说利用ipp2p识别p2p数据包的效果是怎样的?也就是想要有个定量的结果.
我现在所能想到的做法就是把内网的电脑就放一台.然后只运行emule程序,然后指向那台linux网关.运行一段时间后,通过iptables -vnL FORWARD命令来查看总的数据包与iptables -t filter -I FORWARD -m ipp2p --ipp2p -j DROP所应用到的数据包.最后再算出其中的百分比.但我不知道这样做是不是够精确?不知道有没有更好的办法来实现的一功能?

很简单啊，你在拦截之前做个所有数据包的空匹配（不跟 target），然后再拦截
用 -vnxL 的方法查看详细数据，一相除不就算出百分比来了吗

但是如何保证这个空匹配策略所匹配的数据包都只是p2p的数据包,而没有其他的数据包?

[ 本帖最后由 burning423 于 2007-9-18 14:45 编辑 ]

加LOG也行,可是即使加了,又怎样保证匹配到的数据包全是p2p的.而没有其他的数据包?

如果你要统计P2P的数据，那么应该是不行的。因为ipp2p模块或者L7模块都不能完全的匹配到每一个P2P包。

正因为他们都不能100%地匹配到每个p2p包.所以才在想知道他们到底匹配的效果有多好.我不需要测试很多机子.只要在一台电脑上开个emule,bt什么的来测试下就行了.