tcpdumd에 관해 질문이 있습니다. -w로 지정할 수 있는 파일에 데이터를 직접 저장합니까, 아니면 중지되었을 때 데이터를 저장합니까? 그렇다면 USB 스틱에 기록된 경우 마운트를 해제할 수 있나요? 전체 데이터는 USB 드라이브에만 저장됩니다. 플러그를 뽑은 후에도 데이터를 계속 쓸 수 있는 옵션이 있습니까?
답변1
-w로 지정할 수 있는 파일에 데이터를 직접 저장합니까, 아니면 중지되었을 때 데이터를 저장합니까?
기본적으로 사용하는 표준 I/O 라이브러리 버퍼가 가득 차면 파일에 데이터를 씁니다. 이러한 버퍼는 일반적으로 4K 또는 8K 바이트이므로 4K 또는 8K 바이트마다 파일에 데이터를 씁니다. 중지되면 아직 작성하지 않은 모든 내용을 작성합니다.
최신 버전의 tcpdump(최신 버전의 libpcap로 구축)에서 -U이 플래그를 사용할 수 있습니다. 이는 버퍼가 아직 가득 차지 않은 경우에도 수신된 모든 패킷을 기록하도록 tcpdump에 지시합니다.
그렇다면 USB 스틱에 기록된 경우 마운트를 해제할 수 있나요? 전체 데이터는 USB 드라이브에만 저장됩니다.
아니요, 먼저 tcpdump를 중지한 다음 중지해야 합니다.그 다음에모든 데이터를 여기에 저장하려면 USB 스틱을 마운트 해제하세요.
또한 강제 마운트 해제를 수행하지 않는 한 시스템은 tcpdump가 USB 드라이브에 파일을 쓰는 동안 USB 드라이브 마운트 해제를 거부할 수 있습니다. 강제로 제거하면 tcpdump의 데이터가 손실됩니다.그리고커널 파일 시스템 버퍼 내의 데이터가 손실될 수 있습니다.
플러그를 뽑은 후에도 데이터를 계속 쓸 수 있는 옵션이 있습니까?
tcpdump가 실행되는 동안 USB 스틱을 제거하면 tcpdump의 데이터와 커널 파일 시스템 버퍼가 손실될 수 있습니다.
run 을 사용하면 -Utcpdump에서 손실되는 유일한 데이터는 다음과 같습니다.가운데USB 스틱을 마운트 해제하거나 제거하면 아직 USB 스틱에 기록되지 않은 커널 파일 시스템 버퍼의 모든 데이터가 손실됩니다.