tcpdump가 자체 필터로 인해 속도가 느려졌습니까?

Question

긴 BPF 필터가 tcpdump으로 느려 집니까?

모든 패킷이 ttl=k 인 패킷 추적을 재생하고 ICMP 메시지가 반환되기를 기다립니다.

(ip and ip[8]=$k and src host $myAddress) or (icmp and dst host $myAddress and icmp[0]=11) 

난 그냥 할 경우 반면에 ... 난 항상 전송 된 패킷 중 20 ~ 30 개 패킷을 그리워 : 내가 몰래 봤는데 내가으로 (eth0에) 다음 필터를 사용하는 경우이다

ip 

... 그런 다음 정확한 필터링을 수행하십시오. 오프라인 캡처 파일에서 모든 패킷을 찾습니다.

이것은 알려진 동작입니까?

Answer 1

tcpdump이 캡처 된 패킷을 대기열에서 튀어 나오게 할만큼 빠르지 않으면 커널이 일부를 삭제할 수 있습니다.

"커널에 의해 삭제 된 XXXX 패킷" 메시지가 덤프 끝 부분에서 효과적으로 사라지는 지 확인하십시오.

-n 옵션을 명령 줄에 추가해야합니다. 이것은 DNS 해결을 피할 것이고 약간 속도가 향상 될 것입니다 (네트워크에 따라 다름)