1

長いBPFフィルターは遅くなりtcpdumpますか?

すべてのパケットが存在するパケットトレースを再生し、ICMPメッセージが返されるttl=kのを待ちます。私が気付いているのは、(eth0で)次のフィルターを使用した場合です。

(ip and ip[8]=$k and src host $myAddress) or (icmp and dst host $myAddress and icmp[0]=11)

...送信されたパケットの中で常に20〜30パケットを見逃しますが、そうするだけの場合は次のようになります。

ip

...次に、キャプチャファイルで上記のフィルタリングをオフラインで実行すると、送信したすべてのパケットが見つかります。

これは既知の動作ですか?

4

1 に答える 1

2

tcpdumpキャプチャされたパケットをキューからポップアウトするのに十分な速度がない場合、カーネルはそれらの一部をドロップする可能性があります。

ダンプの最後にある「カーネルによってドロップされたXXXXパケット」メッセージを見て、それらの一部が事実上失われていないかどうかを確認します。

-nコマンドラインにオプションを追加してください。これにより、DNSの解決が回避され、少し高速化されます(ネットワークによって異なります)

于 2013-02-28T19:27:45.423 に答える