Estoy intentando capturar paquetes para diagnosticar una aplicación de red. Hay una pequeña cantidad de paquetes cuyo contenido completo deseo capturar para el análisis del protocolo a nivel de aplicación, pero un gran volumen de paquetes que solo necesito capturar los encabezados y algunos bytes de la carga útil. Esto es en un enlace de 10 gigabits (y me gustaría hacer 25 gigabits en el futuro) y he tenido problemas para mantener el rendimiento de captura cuando capturo todo.
He examinado tcpdump, dumpcap y tshark, y ninguno de ellos parece tener una opción para especificar un campo snaplen variable. ¿Existe alguna herramienta de captura que pueda hacer esto? Al observar el resultado de dumpcap -dpuedo ver que el valor de retorno del filtro es el snaplen deseado, o 0 para no capturar. Pero ninguno de estos programas parece tomar un bfp compilado como entrada.
Respuesta1
Ejecute dos capturas simultáneas, cada una con el filtro y snaplen apropiados, luego combínelas usando la mergecapherramienta que viene con Wireshark.