tcpdump -i eth0 -C 5 -W 1 -w <file name>&
위 명령을 사용하여 Ubuntu 시스템에서 패킷을 5MB pcap 파일로 캡처했습니다. pcap 파일이 최대 크기(5MB)에 도달하면 파일이 회전되어 0KB에서 다시 시작됩니다.
파일이 최대 크기에 도달하면 tcpdump가 파일을 회전하는 것을 방지하고 해당 지점부터 패킷을 삭제할 수 있는지 알아야 합니다.
답변1
Wireshark/tshark에 액세스할 수 있는 경우:
tshark -i eth0 -a filesize:5000 -w my.pcap &
답변2
방법을 찾았어요! ! ! !
tcpdump우리는 이렇게 해킹할 수 있어요
tcpdump -i eth0 -C 5 -W 2 -w my.pcap -z ./stop.sh&
stop.sh
# !/bin/sh
pkill tcpdump
rm my.pcap0
이것은 나에게 효과적입니다 ...
답변3
tcpdump(4.9.2)는 캡처 시간(-G)과 함께 사용될 때 파일 수(-W)만 지원하는 것 같습니다. 하나의 파일만 캡처하는 또 다른 방법은 패킷 수를 제한하는 것입니다(-c). tcpdump는 크기 제한(-C)이 적용되는 회전되지 않은 파일을 쓸 수 없는 것 같습니다.
소스 코드에 따르면 다음과 같은 종료 문이 있습니다.
if (Cflag == 0 && Wflag > 0 && Gflag_count >= Wflag) {
(void)fprintf(stderr, "Maximum file limit reached: %d\n",
Wflag);
info(1);
exit_tcpdump(0);
/* NOTREACHED */
}
특히 CFlag(파일 크기)가 0인지 테스트합니다.
예시 1: 패킷별 계산
# tcpdump -vi any -w ./count.pcap -c 42 ip
예시 2: 캡처 시간별
# tcpdump -vi any -w ./time.pcap -G 7 -W 1 ip
결과: 각각 1개의 파일
# ls
count.pcap time.pcap
화타이