Przechodzenie przez stronę podręcznika tcpdump here Wygląda na to, że jądro może zrzucić pakiety, jeśli bufor jest pełny. Zastanawiam się, czyRozmiar bufora do przechwytywania pakietów w przestrzeni jądra?
1) ten rozmiar jest konfigurowalny i/lub 2) gdzie mogę zobaczyć rozmiar dla mojej dystrybucji?
Od strony człowieka (dla łatwego odniesienia):
pakietów `` spadła o jądra „” (jest to liczba pakietów, które zostały wycofane z powodu braku miejsca w buforze, przez mechanizm przechwytywania pakietów w systemie operacyjnym, w którym działa tcpdump, jeśli system operacyjny przekazuje te informacje do aplikacji, jeśli nie, zostanie zgłoszony jako 0).
Dzięki. Modyfikowanie/proc/sys/net/core/netdev_max_backlog zrobiło dla mnie trudność. Jeśli nie masz odpowiedzi na pytanie dotyczące tematu, dlaczego pisanie do pliku byłoby szybsze/lepsze niż pisanie na ekranie, gdy w systemie Unix oba są praktycznie plikami? – Anon
Nie jestem ekspertem, ale wyobrażam sobie, że sprowadza się on do technik buforowania, które można zastosować w obu przypadkach. Jestem pewien, że uzyskałbyś bardziej jednoznaczną odpowiedź, gdybyś zadał formalne pytanie;) – ezpz
Mogę zadać pytanie formalne, ale muszę mieć pewność, że tak właśnie jest. Czy masz teraz jakieś doświadczenia z pierwszej ręki/studia przypadku, gdzie to zaobserwowałeś? Naprawdę chciałbym znać odpowiedź, jeśli pisanie do pliku zamiast ekranu jest szybsze.Dziękuję za poświęcenie czasu, aby odpowiedzieć na moje pytanie. – Anon