Question

我使用dumpcap捕获大约30分钟的时间。

最初到达时间非常接近我收到的消息中的发送时间（FIX）。

但随着pcap的运行，时间会逐渐减少，20分钟后会增加50ms +。

我在WireShark中注意到了这一点，并认为这是因为GUI开销，但它也在dumpcap中。

有解决方法吗？

这是我的命令行：

dumpcap.exe -i 5 -a filesize:20000000 -w output0405v1.pcapng

Answer 1

由于您提到.exe，我将假设您使用的是Windows平台。此外，我假设你使用WinPcap作为实际的捕获驱动程序。

理解WinPcap完成时间戳的最佳方法可能是遵循Wireshark-users邮件列表中的旧主题，主题为"Wireshark time behind the actual time"。

在线程中，创建者之一Gianluca Varenni，如果不是WinPcap的创建者，则会提到可以调整的Windows注册表设置，即{{1 ，这可能会改善你的时间戳。引用Gianluca：

可能的值是

0（默认） - ＆gt;通过KeQueryPerformanceCounter生成的时间戳，在SMP / HyperThreading机器上不太可靠，精度=几微秒
2 - ＆gt;通过KeQuerySystemTime生成的时间戳，在SMP / HyperThreading机器上更可靠，精度=调度量子（10/15 ms）
3 - ＆gt;通过i386指令RDTSC生成的时间戳，在SMP / HyperThreading / SpeedStep机器上不太可靠，精度=几微秒

更改设置后（要使用2），需要通过打开提升的命令提示符并运行“net stop npf”，然后运行“net start npf”来重新启动NPF驱动程序。

或者，您可以尝试将WinPcap替换为更现代的npcap，并查看该驱动程序是否表现更好。