Erzwingen Sie einen Prozess in Windows 7, um das Capture im RAM zu speichern, ohne die eigentliche E / A-Operation auszuführen und auf die Festplatte zu schreiben

417
0x90

Ich verwende den Erfassungsmodus für die zyklische Pufferkonfiguration von Wireshark:

Erzwingen Sie einen Prozess in Windows 7, um das Capture im RAM zu speichern, ohne die eigentliche E / A-Operation auszuführen und auf die Festplatte zu schreiben

Ich schnüffle an einem 10-Gigabyte-Port, und ich hatte erwartet, dass Wireshark nur mit DDR-Puffern zyklisch arbeitet, aber anscheinend nicht. Wireshak greift ständig auf die Festplatte zu. Die Festplatte ist eine, T500DM002 500GB 7200 RPMdie 10Gig-Datenverkehr nicht verarbeiten kann, selbst SSDs können damit nicht umgehen.

Hier ist eine Momentaufnahme des Process Explorers, wenn der Datenverkehr kaum 0.1%von maximal 10 Gigabyte reicht:

Erzwingen Sie einen Prozess in Windows 7, um das Capture im RAM zu speichern, ohne die eigentliche E / A-Operation auszuführen und auf die Festplatte zu schreiben

Gibt es eine Methode, um zu erzwingen, dass Wireshark / Dumpcap / Tshark / Was auch immer nur mit DDR-zugewiesenen zyklischen 100 MB-Puffern arbeitet?

0
Möglicherweise können Sie eine Software installieren, die einen Teil Ihres RAMs als Ramdisk freigibt, und die temporäre Aufnahmedatei für das drahtgebundene Gerät auf dieser Festplatte ablegen, um festzustellen, ob die Geschwindigkeit korrekt ist Ferrybig vor 8 Jahren 2
@ferrybig Würden Sie eine kurze Beschreibung für das Erstellen einer Ramdisk in Win7 geben? moonbutt74 vor 8 Jahren 0

2 Antworten auf die Frage

0

Wenn Sie mit "DDR" Double Data Rate RAM meinen, anstatt beispielsweise Deutsche Demokratische Republik oder Dance Dance Revolution, erfasst Wireshark eine Datei, nicht einen Arbeitsspeicher, und hat keine Möglichkeit, den Arbeitsspeicher einzulesen.

Um dies zu unterstützen, müssten wir eine Verbesserung von Wireshark anfordern. (Dies wäre eine bedeutende Änderung, etwas, was die Entwickler nicht schnell tun könnten.)

Eine Alternative wäre, eine Ramdisk-Software für Windows zu finden, sie zu installieren und Wireshark anzuweisen, die auf der Ramdisk gespeicherten Ringpuffer zu erfassen.

0
0x90

Die Lösung, die ich gefunden habe, ist:

Weisen Sie eine 1 GB-RamDisk mit imdisk zu . Sie können CrystalDiskMark verwenden, um zu überprüfen, ob die E / A bei der gewünschten Datenrate funktioniert.

Verwandte Probleme