我正在通过网络适配器捕获tcp / udp数据包并尝试分析数据包以获得一些统计指标,如带宽速率或协议效率。无论如何,我需要使用一些CLI工具监控特定链路(src,dst,端口,可能是整体流量)上的网络流量。
我想要的捕捉工具可以是:
跑了很长时间来监控大文件传输;
同时运行多个实例来监控不同的链接; (不想复制过滤规则);
能够在磁盘上写入数据,我不希望io操作过多影响捕获和其他进程,所以二进制文件没问题,只要它可以被tshark转储。
现在我知道tshark,tcpdump(目前正在使用它)和dumpcap,但我不知道这些工具之间的性能差异。任何人都可以帮忙吗?
答案 0 :(得分:3)
在libpcap中处理TPACKET_V3支持时完成的一些实验发现,目前,tcpdump丢弃的数据包少于dumpcap。 (我们想修复dumpcap以做得更好。)
TShark只运行dumpcap,所以它不会比dumpcap更好。