Karthick Asked: 2017-12-07 05:17:23 +0800 CST2017-12-07 05:17:23 +0800 CST 2017-12-07 05:17:23 +0800 CST tcpdump --- 将数据包捕获到非旋转文件 772 tcpdump -i eth0 -C 5 -W 1 -w <file name>& 我使用上面的命令将数据包捕获到 Ubuntu 机器上的 5MB pcap 文件中。一旦 pcap 文件达到最大大小 (5MB),文件就会旋转并从 0KB 重新开始。 我需要知道我们是否可以在 tcpdump 达到其最大大小后停止旋转文件并从那时起丢弃数据包。 tcpdump 3 个回答 Voted Best Answer Karthick 2017-12-07T08:46:14+08:002017-12-07T08:46:14+08:00 我找到了一个方法!!!! 我们可以tcpdump如下进行破解 tcpdump -i eth0 -C 5 -W 2 -w my.pcap -z ./stop.sh& stop.sh # !/bin/sh pkill tcpdump rm my.pcap0 它对我有用...... slass100 2017-12-07T11:55:21+08:002017-12-07T11:55:21+08:00 如果您可以访问wireshark/tshark: tshark -i eth0 -a filesize:5000 -w my.pcap & StefanKaerst 2020-12-23T01:51:21+08:002020-12-23T01:51:21+08:00 看起来 tcpdump (4.9.2) 仅在与捕获时间 (-G) 一起使用时才尊重文件计数 (-W)。仅捕获一个文件的另一种方法是限制数据包计数(-c)。tcpdump 似乎无法写入受大小 (-C) 限制的非旋转文件。 根据源代码有这个退出语句 if (Cflag == 0 && Wflag > 0 && Gflag_count >= Wflag) { (void)fprintf(stderr, "Maximum file limit reached: %d\n", Wflag); info(1); exit_tcpdump(0); /* NOTREACHED */ } 它特别测试 Cflag(文件大小)为零。 示例 1:按数据包计数 # tcpdump -vi any -w ./count.pcap -c 42 ip 示例 2:按捕获时间 # tcpdump -vi any -w ./time.pcap -G 7 -W 1 ip 结果:每个文件 1 个 # ls count.pcap time.pcap 高温高压
我找到了一个方法!!!!
我们可以
tcpdump如下进行破解stop.sh它对我有用......
如果您可以访问wireshark/tshark:
看起来 tcpdump (4.9.2) 仅在与捕获时间 (-G) 一起使用时才尊重文件计数 (-W)。仅捕获一个文件的另一种方法是限制数据包计数(-c)。tcpdump 似乎无法写入受大小 (-C) 限制的非旋转文件。
根据源代码有这个退出语句
它特别测试 Cflag(文件大小)为零。
示例 1:按数据包计数
示例 2:按捕获时间
结果:每个文件 1 个
高温高压