Is there a patch for tcpdump like this
Sim, há este , que, como esse patch, adiciona um sinalizar para ativar o modo imediato ...
... exceto que não é específico de BPF (portanto, não está restrito a * BSD, OS X e Solaris 11) e usa --immediate-mode em vez de -b e já está no tcpdump padrão 4.7. x libera, então se você tiver o tcpdump 4.7.x ou mais tarde, você não terá para aplicar o patch.
Que tipo de patch você está procurando? Uma que não requer uma versão recente da libpcap com uma API para ativar o modo imediato? Em caso afirmativo, ou esse patch não funcionará em alguns sistemas operacionais ou terá que fazer coisas dependentes do sistema operacional (e, infelizmente, não há algum ioctl simples que você possa fazer no Linux, portanto, talvez não seja uma maneira dependente do sistema operacional de desativar o buffer para seu sistema operacional).
Por outro lado, você pode tentar reduzir o tempo limite para, digamos, 1/10 de segundo (use 100 em vez de 1000 em pcap_open_live() ou pcap_set_timeout() ) ou mesmo 1/100 de segundo (use 10 em vez de 1000 em pcap_open_live() ou pcap_set_timeout() ).