正常数据包被大量的过滤掉，该怎么处理

huarte

如图：数据包应该有10670条左右，但实际被应用处理的才5个包，另外一万多个正常的包都被过滤了。。。。。。。
我的应该是接收UDP514的数据包的，大概每秒有1000条左右数据量，但在控制台看到只有几条，通过抓包发现，系统kernel把我需要的数据包基本上都过滤掉了，请问需要怎么处理，应用层才能正常接收这些数据包。
希望坛友们，提供下帮助，比较急，先谢谢了。

csoho2000

(网上搜索)
    造成这种丢包的原因是由于libcap抓到包后，tcpdump上层没有及时的取出，导致libcap缓冲区溢出，从而 覆盖了未处理包，此处即显示为dropped by

kernel，注意，这里的kernel并不是说是被linux内核抛弃的，而是被tcpdump的内核，即libcap抛弃掉的，上层监听到 1234端口的server可以正常的获取数据。


解决方法：
     根据以上分析，可以通过改善tcpdump上层的处理效率来减少丢包率，下面的几步根据需要选用，每一步都能减少一定的丢包率  

     1.最小化抓取过滤范围，即通过指定网卡，端口，包流向，包大小减少包数量

     2. 添加-n参数，禁止反向域名解析  tcpdump -i eth0 dst port 1234 and udp -s 2048 -n -X -tt >a.pack 大多数情况这样