Ring buffers

Als een netwerkprobleem zich voordoet op onregelmatige tijdstippen, is het moeilijk om te weten wanneer men het verkeer moet gaan opvangen. In dit geval zou je het netwerkverkeer voor onbepaalde tijd moeten opvangen, tot het probleem zich weer voordoet. Hiervoor kunnen we ring buffers gebruiken.

Hoe werkt een ring buffer?
Je laat Wireshark een maximum aantal files aanmaken van een maximum grootte (afhankelijk van de kracht van het systeem en de beschikbare schijfruimte). Elke keer een file ‘vol’ is, gaat Wireshark over naar de volgende.
Komt hij aan de laatste, overschrijft hij weer de eerste. De oudste files worden zo overschreven.
Op de manier kun je lange tijd sniffen zonder al te veel harddisk ruimte te gebruiken.

Als het probleem zich voordoet, kun je op het juiste tijdstip de capture stoppen en de packets analyzeren!