转储工具的性能和效率比较:tcpdump、tshark、dumpcap

问题描述 投票:0回答:2

我正在通过网络适配器捕获 tcp/udp 数据包,并尝试分析数据包以获得一些统计指标,例如带宽速率或协议效率。无论如何,我需要使用一些 CLI 工具来监视特定链路(源、目标、端口,可能是总体流量)上的网络流量。

我想要的捕捉工具可以是:

  • 长时间运行监控大文件传输;

  • 同时运行多个实例来监控不同的链路; (不想让过滤规则变得复杂);

  • 能够将数据写入磁盘,并且我不希望io操作过多影响捕获和其他进程,所以二进制文件可以,只要它可以被tshark转储即可。

现在我知道了 tshark、tcpdump(目前使用它)和 dumpcap,但我不知道这些工具之间的性能差异。有人可以帮忙吗?

tcpdump tshark
2个回答
4
投票

在 libpcap 中处理 TPACKET_V3 支持时所做的一些实验发现,目前 tcpdump 丢弃的数据包比 dumpcap 少。 (我们希望修复 dumpcap 以做得更好。)

TShark 只是运行 dumpcap,所以它不会比 dumpcap 更好。


0
投票

对此主题感兴趣的人还应该查看 nTop 工具。 例如 pf 环 https://www.ntop.org/products/packet-capture/pf_ring/

另请参阅 n2disk

© www.soinside.com 2019 - 2024. All rights reserved.