長期パッケージ取得

Question

パッケージのデータブロックを保存せずにWindowsでネットワークトラフィックをキャプチャするソリューションを探しています。

これは、48時間以上のパフォーマンスを監視するネットワークトラブルシューティングスクリプトの一部です。

私はtcpdumpの上に構築されたのbashで同様のスクリプトを実行するために使用：

tcpdump --no-promiscuous-mode -i $netif -w $dumpdir/$stamp2.ping.pcap 

は、残念ながら、無線LANインタフェースドライバが十分に信頼性がなかった、と私はTSのLinuxのバグの代わりに、ネットワーク上のバグに多くの時間と労力を費やしています。だから私はそれをあきらめた。ゆっくりと一定のトラフィックを生成するためのIperfを使用した両方の場合にも

.\dumpcap.exe -i $AdapterName -w "$outputPath.$timeStamp.pcap" -p -a duration:3600 

：

Windowsでdumpcap（PS）に基づいて、新しいバージョンが。 2mbpsのトラフィックが大量のディスクスペースを消費するため、キャプチャは1時間後に再開され、古いpcapファイルはアーカイブファイルに圧縮されます。

このスクリプトの部分は、Linuxで非常にやさしく働いていましたが、圧縮されたpcapファイルは元のサイズのほんの一部でした。

私は、tcpdumpとdumpcapの間に大きな違いがあることに気付きました。 Tcpdumpはパッケージのデータブロックを格納しません。写真を参照してください。

tcpdump - package capture example

dumpcap - package capture example

あなたはtcpdumpの店にのみゼロの代わりのデータを見ることができるように。

私はdumpcapで同様の解決策を探しています。または、別のツールよりも可能でない場合は探しています。基準のみ：Windowsおよびフリー/オープンソースツールで利用可能でなければなりません。

Answer 1

ご覧のとおり、tcpdumpはデータの代わりにゼロだけを格納します。

私が知る限り、tcpcumpは転送されるデータの代わりにゼロを書きません。ゼロが表示されている場合は、ゼロが送信されました。

あなたはペイロードを必要とするか、したくない場合は、キャプチャされたバイト数を制限するtcpdumpまたはdumpcapのいずれかでsnaplenを使用することができます。スナッププランは、-s <snaplen>オプションを使用して指定します.snaplenは、保存するパケットのバイト数です。どちらのツールもこの機能に同じオプションを使用します。キャプチャされたバイト数を制限する場合、結果として得られるキャプチャファイルは明らかにはるかに小さくなり、それらを圧縮する必要はありません。余談として

は、あなたが、唯一手動それを再起動の代わり"-b duration:3600"オプションを使用するに持っている時間後にキャプチャを停止するdumpcap's"-a duration:3600"オプションを使用するように私には奇妙に思われるだろう自動的ファイルへのキャプチャを停止し、1時間ごとに次のファイルにキャプチャを開始します。他の-bオプションもあります。これは、"-b duration:3600"オプションと組み合わせて使用​​でき、保持するファイルの総数または各ファイルの最大サイズを制限することができます。これらのオプションの詳細については、dumpcap man pageを参照してください。