Файл pcap в 20 раз меньше, чем разница между TX / RX ifconfig за тот же период
Если у вас есть root-доступ, и вы готовы применить широкую систему взлома (так что это повлияет на другие пользователи на одной машине), Быстрый взлом, который будет делать то, что вы хотите, чтобы перечислить на оскорбление в / etc / hosts :
127.0.0.3 www.problematic-site-name.example.com
(если вы не , используя Linux, затем заменить 127,0 0.0.0 С 127.0.0.1 потому что 127.0.0.something-ellow не обязательно работает с другими операционными системами)
Это запрашивает систему, чтобы думать, что Напущенные названия отображаются на локальный IP-адрес. Ваш веб-браузер запустит локальный веб-сервер, работающий на одной и той же машине, который может существовать или не может существовать, но или другой, или другой, а не будет быстрое вместо времени.
Некоторые старые версии tcpdump усекают пакеты, которые они захватывают, вот немного информации об этом . Это может привести к тому, что в нем будет храниться меньше данных, чем было получено на интерфейсе.
Основываясь на количестве пакетов в обоих, я предполагаю, что это не было ошибкой брандмауэра или переключателя беспорядочного режима, некоторые интерфейсы отказываются переходить в беспорядочный режим и сбрасывать трафик, связанный с другими MAC-адресами.