实时嗅探数据包

Question

我一直在使用tcpdump，它很好，但是它展示了这里问题。其他程序，如十六进制、tcpflow和tracedump都使用pcap，因此它们在显示数据包之前会延迟一点。

我还使用了不滞后的生插座，但是我无法获得带有原始套接字的端口号。

我已经查看了tcpdump的文档，这里似乎有--immediate-mode。我试图让tcpdump停止延迟发送它的数据包。

我现在的版本是：

• tcpdump版本4.6.2
• libpcap版本1.6.2

是否有tcpdump 像这样的修补程序或另一个不会延迟的cli？

Answer 1

是否有tcpdump 像这样的修补程序？

是的，有这，和那个补丁一样，它添加了一个标志来打开即时模式.

...except表示它不是BPF特定的(所以它不限于*BSD、OS X和Solaris 11)，并且使用--immediate-mode而不是-b，并且它已经在标准的tcpdump 4.7.x版本中了，所以如果您有tcpdump 4.7.x或更高版本，就不需要应用修补程序了。

你在找什么样的补丁？一个不需要最近版本的带有API的libpcap来打开即时模式的？如果是这样的话，那么这个补丁要么不能在某些OSes上工作，要么就必须做一些依赖于操作系统的事情(不幸的是，在Linux上没有什么简单的ioctl可以做，所以可能没有一种依赖于操作系统的方式来关闭操作系统)。

另一方面，您可以尝试将超时缩短为每秒1/10 (在pcap_open_live()或pcap_set_timeout()中使用100而不是1000 )，甚至可以减少1/100秒(在pcap_open_live()或pcap_set_timeout()中使用10而不是1000 )。