Принудительное выполнение процесса в Windows 7 для сохранения перехвата в оперативной памяти без выполнения операций ввода-вывода и записи на диск
Я использую режим захвата конфигурации циклических буферов Wireshark:
Я слежу за портом 10Gig и ожидал, что Wireshark будет циклически работать с буферами только на DDR, но, очевидно, это не так. Wireshak постоянно обращается к ДИСКУ. Диск является T500DM002 500GB 7200 RPM который не может обрабатывать 10-гигабитный трафик, даже SSD не может справиться с этим.
Вот снимок Process Explorer, когда трафик едва 0.1% из максимальных 10Gig:
Есть ли способ заставить Wireshark/Dumpcap/Tshark/ независимо от того, чтобы работать только с выделенными DDR циклическими буферами по 100 МБ?
2 ответа
Решение, которое я придумал:
Выделите 1 ГБ RamDisk с помощью imdisk. Вы можете использовать CrystalDiskMark для проверки работоспособности ввода-вывода на желаемой скорости передачи данных.
Если под "DDR" вы подразумеваете ОЗУ с двойной скоростью передачи данных, а не, например, Deutsche Demokratische Republik или Dance Dance Revolution, Wireshark записывает в файл, а не в память, и не имеет возможности для захвата в память.
Вы должны были бы попросить улучшения для Wireshark, чтобы поддержать это. (Это было бы значительное изменение, а не то, что разработчики могли бы быстро сделать.)
Альтернативой может быть поиск программного обеспечения для виртуального диска для Windows, его установка и передача Wireshark для записи в кольцевые буферы, хранящиеся на виртуальном диске.