实时嗅探数据包

Question

有tcpdump的补丁吗像这样

是的，有这，就像那个补丁一样，添加了一个标志来打开立即模式......

...除了它不是 BPF 特定的（因此它不限于 *BSD、OS X 和 Solaris 11），并且使用--immediate-mode而不是-b，并且它已经在标准 tcpdump 4.7.x 版本中，所以如果您有 tcpdump 4.7 .x 或更高版本，您不需要有应用补丁。

您正在寻找什么样的补丁？不需要最新版本的 libpcap 和 API 来打开即时模式？如果是这样，要么该补丁在某些操作系统上不起作用，要么必须执行与操作系统相关的操作（不幸的是，您无法在 Linux 上执行一些简单的 ioctl，因此可能无法是一种关闭操作系统缓冲的依赖于操作系统的方法）。

另一方面，您可以尝试将超时减少到 1/10 秒（在pcap_open_live()或中使用 100 而不是 1000 pcap_set_timeout()），甚至 1/100 秒（在pcap_open_live()或中使用 10 而不是 1000 pcap_set_timeout()）。

Answer 1

有tcpdump的补丁吗像这样

是的，有这，就像那个补丁一样，添加了一个标志来打开立即模式......

...除了它不是 BPF 特定的（因此它不限于 *BSD、OS X 和 Solaris 11），并且使用--immediate-mode而不是-b，并且它已经在标准 tcpdump 4.7.x 版本中，所以如果您有 tcpdump 4.7 .x 或更高版本，您不需要有应用补丁。

您正在寻找什么样的补丁？不需要最新版本的 libpcap 和 API 来打开即时模式？如果是这样，要么该补丁在某些操作系统上不起作用，要么必须执行与操作系统相关的操作（不幸的是，您无法在 Linux 上执行一些简单的 ioctl，因此可能无法是一种关闭操作系统缓冲的依赖于操作系统的方法）。

另一方面，您可以尝试将超时减少到 1/10 秒（在pcap_open_live()或中使用 100 而不是 1000 pcap_set_timeout()），甚至 1/100 秒（在pcap_open_live()或中使用 10 而不是 1000 pcap_set_timeout()）。

实时嗅探数据包

答案1

相关内容