高速捕获 ​

一些可能值得尝试的想法。

Ethernet 驱动程序 ​

NTOP 为 DNA（Direct Network card Access）定制了驱动程序，类似的东西是否可以开源？

Luca Deri（NTOP 作者）过去曾向 Wireshark 贡献过代码，所以他可能会愿意。否则，我们可以直接使用 Intel 的 DPDK——这可能也需要许可证和许可，但对于 Wireshark 这样的工具，Intel 可能会愿意。

AF_PACKET_V3 ​

在 packet buffer 开头留出一些空间来写入 pcap(ng) header，可能可以避免一次复制并提升性能。

libpcap ​

使用 pcapng phdr 可能会更高效。

Dumpcap ​

使用 libpcap(1.5.3) 进行基准测试时，最近加入 AF_PACKET_V3 的 tcpdump 表现优于 dumpcap。可能是因为 dumpcap 使用 pcap_dispatch(pcap_opts->pcap_h, 1, capture_loop_write_packet_cb, (u_char *)pcap_opts);，也就是一次只处理一个数据包。如果能将其改写为使用 -1，性能可能会提升。

Imported from https://wiki.wireshark.org/HighSpeedCapturing on 2020-08-11 23:14:39 UTC

相关 Wireshark Wiki 页面 ​

• Wireshark Wiki 首页Home · 入门与使用