pcap文件是否有最大数量的数据包(超出操作系统限制?
查看规范我在pcap file format中没有看到任何会限制数据包数量的内容。
libpcap或tcpdump可能会限制写入的数据包数量吗?
答案 0 :(得分:1)
不,pcap文件格式中没有任何内容限制文件中的数据包数量。 (pcap-ng文件格式允许一个节中最多18446744073709551614个字节,如果节标题块必须包含节中的字节数,但是,文件中的字节数超过18446744073709551615,即使是当前的64位操作系统将出现文件问题。: - ))
Tcpdump只使用libpcap来写出文件,所以它只受限于libpcap的限制。
libpcap 1.0及更高版本在配置脚本中使用AC_SYS_LARGEFILE
宏,因此,在UN * X上,如果底层操作系统支持大于2GB的文件(他们都应该这样做)对于64位计算机,并且大多数(如果不是所有计算机在32位计算机上已经完成了多年),以及 if 配置脚本在32位计算机上正确设置允许大文件(或者如果不需要这样的设置 - 例如,* BSD和OS X上没有必要),如果那么构建库的人不会以某种方式阻止它工作时,libpcap写入大于2GB的文件应该没问题(只要你有足够的磁盘空间,当然......)。
我不知道用于构建WinPcap的任何编译器附带的C支持库是否支持Windows NT上的大文件(NT 3.x,NT 4.0,2000,XP,Vista,7,8) ,以及各种服务器版本),但我怀疑它会。我不认为Windows OT(95,98,Me)支持大文件。