这是我看到它的方式。
networking活动的一个副本被写入缓冲区, snoop
从缓冲区中读取数据。 只要snoop能够快速地获取数据(直接写入文件比写入terminal或bzip
er更快),那么缓冲区永远不会被填满。
但是,如果有大量的networking活动,并且snoop
无法快速写出(无论出于何种原因),那么snoop
必须等待,因此原始缓冲区已满。
如果缓冲区变大,会发生什么?
:-/
:-o
B-)
我对Solaris特别感兴趣,但其他UNIX系统上的信息会很有趣。
我认为,数据包会因为窥探而下降,而不会在高活动期间拖延数据包。
Snoop提供-D开关来显示捕获期间丢弃的数据包数量。
-s snaplen
交换机可以用于截断snaplen
字节后的数据包捕获,意味着在高stream量期间缓冲区溢出的可能性较小。
手册页的警告部分也是这样说的
实时数据包parsing的处理开销要高得多。 因此,数据包丢弃计数可能会更高。 为了更可靠的捕获,使用-o选项将原始数据包输出到文件并离线分析数据包。