使用 libpcap 来库样本转储文件

Using libpcap to library sample dump files

事实证明,使用 libpcap 非常简单,但是,速度始终是巨型(任意意义上的).pcap 转储的问题。

是否有任何仅对转储进行抽样的常见做法?也许有些东西有效地说 "Read every fifth frame" 作为 pcap 过滤器,或者我应该只是在 pcap_handler 中的某些时候什么都不做?

如果您只想转储一小部分数据包,您这样做的方式确实是让回调忽略一些数据包并写出其他数据包。 Pcap 过滤器是无状态的,因此不支持 "only match every fifth frame" 或类似的东西。