Solaris/UNIX: snoop有可能减缓网络流量吗？

Question

我就是这么看的。

将网络活动的副本写入缓冲区，然后snoop从缓冲区读取。只要窥探能够足够快地获取数据(直接写入文件比写入终端或bziper更快)，缓冲区就永远不会填满。

但是，如果有大量的网络活动，而snoop在进来时不能快速地写出它(无论出于什么原因)，那么snoop必须等待，因此原始的缓冲区就满了。

如果缓冲区变大，会发生什么？

• 为了支持最大吞吐量，缓冲区无限期地增长。:-/
• 为了支持低内存使用率，一些数据可能被排除在外。:-o
• 为了稳定的结果，网络I/O是瓶颈，直到有更多的空间在缓冲区。B-)

我对Solaris特别感兴趣，但是关于其他UNIX系统的信息会很有趣。

Answer 1

我认为数据包是被窥探丢弃的，而不是在高活动时间延迟它们。

Snoop提供-D交换机来显示捕获期间丢弃的数据包数。

-s snaplen交换机可用于在snaplen字节之后截断数据包捕获，这意味着在高通信量期间缓冲区溢出的可能性较小。

手册页的警告部分也这样说。

用于实时分组解释的处理开销要高得多。因此，分组丢弃计数可能更高。要获得更可靠的捕获，可以使用-o选项将原始数据包输出到文件中，并脱机分析数据包。