1

我正在运行“tcpdump port 1025 -w out.pcap -s 4000”,所有从 localhost 发送的数据包我看到“在线上的 XXX 字节,捕获了 54 个字节”(仅捕获了以太网和 tcp 标头,未捕获数据)。显然,snaplen 是 4000,因此我无法弄清楚为什么数据包被切到了中间。我也写了一个程序,直接使用libpcap,也出现了同样的现象。这发生在 libpcap 1.1.1 和 1.2.0rc1 上,但是在 libpcap 0.9.8 上它起作用了!

我正在使用带有 SP3 的 SLE10,并在另一台计算机上安装了完全相同的操作系统和程序,它运行良好。

这是一个示例捕获

4

1 回答 1

0

libpcap 对 Linux 的内存映射捕获机制的支持存在一个错误,该错误已在较新版本中得到修复;应固定在树干和1.2树枝上。该支持在 libpcap 0.x 中不存在,因此在 libpcap 0.9.8 中不存在。

于 2011-10-19T08:48:21.200 回答