Início / unix / Perguntas / 409210
Accepted
Karthick
Asked: 2017-12-07 05:17:23 +0800 CST

tcpdump --- captura pacotes para um arquivo não rotativo

  • 772
tcpdump -i eth0 -C 5 -W 1 -w <file name>&

Eu uso o comando acima para capturar pacotes para um arquivo pcap de 5 MB em uma máquina Ubuntu. Quando o arquivo pcap atinge o tamanho máximo (5 MB), o arquivo é girado e começa novamente a partir de 0 KB.

Preciso saber se podemos impedir que o tcpdump gire o arquivo assim que atingir seu tamanho máximo e descartar os pacotes a partir daí.

tcpdump

3 respostas

  1. Best Answer

    Eu encontrei um caminho!!!!

    Podemos fazer um hack tcpdumpcomo abaixo

    tcpdump -i eth0 -C 5 -W 2 -w my.pcap -z ./stop.sh&

    stop.sh

    # !/bin/sh
pkill tcpdump
rm my.pcap0

    e funcionou para mim......

    • 0

  2. Se você tiver acesso ao wireshark/tshark:

    tshark -i eth0 -a filesize:5000 -w my.pcap &
    • 0

  3. parece que o tcpdump (4.9.2) apenas respeita a contagem de arquivos (-W) quando usado junto com o tempo de captura (-G). a outra maneira de capturar apenas um arquivo é por contagem de pacotes de limite (-c). O tcpdump parece não ser capaz de gravar em um arquivo não rotativo limitado pelo tamanho (-C).

    de acordo com o código-fonte, existe esta declaração de saída

    if (Cflag == 0 && Wflag > 0 && Gflag_count >= Wflag) {
    (void)fprintf(stderr, "Maximum file limit reached: %d\n",
        Wflag);
    info(1);
    exit_tcpdump(0);
    /* NOTREACHED */
}

    que testa especialmente Cflag (tamanho do arquivo) para ser zero.

    exemplo 1: por contagem de pacotes

    # tcpdump -vi any -w ./count.pcap -c 42 ip

    exemplo 2: por tempo de captura

    # tcpdump -vi any -w ./time.pcap -G 7 -W 1 ip

    resultado: 1 arquivo cada

    # ls
count.pcap  time.pcap

    HTH

    • 0

relate perguntas