tcpdump — 將數據包擷取到非旋轉文件

tcpdump -i eth0 -C 5 -W 1 -w <file name>&

我使用上面的命令將數據包擷取到 Ubuntu 機器上的 5MB pcap 文件中。一旦 pcap 文件達到最大大小 (5MB)，文件就會旋轉並從 0KB 重新開始。

我需要知道我們是否可以在 tcpdump 達到其最大大小後停止旋轉文件並從那時起丟棄數據包。

我找到了一個方法！！！！

我們可以tcpdump如下進行破解

tcpdump -i eth0 -C 5 -W 2 -w my.pcap -z ./stop.sh&

stop.sh

# !/bin/sh
pkill tcpdump
rm my.pcap0

它對我有用……

如果您可以訪問wireshark/tshark：

tshark -i eth0 -a filesize:5000 -w my.pcap &

引用自：https://unix.stackexchange.com/questions/409210