Display- vs. Capture-Filter
Gründe für und gegen einen Capture-Filter
+ Wenn viele Pakete gespeichert werden müssen, kann es bei hoher Netzbelastung dazu kommen, dass Pakete verloren gehen.
+ Je mehr Pakete gespeichert sind, desto mehr Arbeit muss der Display-Filter leisten, um eine vernünftige Analyse des Datenstroms zu ermöglichen.
- Ein einmal ausgefiltertes Paket ist weg und lässt sich nicht mehr herstellen. Also lieber zu wenig als zu viel filtern.
Gründe für und gegen einen Display-Filter
+ Alle Pakete einer Session sind noch vorhanden, können je nach Bedarf ein- oder ausgeblendet werden - etwa wenn man auf einen neuen Aspekt stößt, den man nun untersuchen möchte.
- Bei jeder Änderung des Display-Filters muss Ethereal alle Pakete des Datenstroms neu überprüfen, ob sie anzuzeigen sind oder nicht.