如何使用 tcpdump 捕获最后 N 秒的数据包

Question 1

如果您只想让 tcpdump 运行 n 秒然后退出，则可以使用超时。

例如：

timeout 2 tcpdump -eni mon0

否则我不相信 tcpdump 有这样做的选项。

Answer

如果您只想让 tcpdump 运行 n 秒然后退出，则可以使用超时。

例如：

timeout 2 tcpdump -eni mon0

否则我不相信 tcpdump 有这样做的选项。

Question 2

我认为实现此目的的最佳方法是使用 tcpdump 的 -G 标志，当与 -w 一起使用时，它会每 N 秒将您的转储保存到一个新文件中。例如：

tcpdump -w 输出文件-%s -G 10

这将每 10 秒创建一个名为“outfile-XXXX”的新文件（其中 XXXX 代表自纪元以来的秒数）。

有关更多详细信息，请参阅 tcpdump(8) 和 strftime(3) 的手册页。

Answer

我认为实现此目的的最佳方法是使用 tcpdump 的 -G 标志，当与 -w 一起使用时，它会每 N 秒将您的转储保存到一个新文件中。例如：

tcpdump -w 输出文件-%s -G 10

这将每 10 秒创建一个名为“outfile-XXXX”的新文件（其中 XXXX 代表自纪元以来的秒数）。

有关更多详细信息，请参阅 tcpdump(8) 和 strftime(3) 的手册页。

Question 3

您可以使用 tethereal 代替 tcpdump。您可以使用以下命令行选项：

-a duration:X

Answer

您可以使用 tethereal 代替 tcpdump。您可以使用以下命令行选项：

-a duration:X

Question 4

tcpdump options -w new.tcpdump

ps -ef |grep tcpdump

记下 PID，假设它是 11193

at 11:00 kill 11193

现在只需等到 11:00 到来，你的俘虏就会被杀死但会被保存

Answer

tcpdump options -w new.tcpdump

ps -ef |grep tcpdump

记下 PID，假设它是 11193

at 11:00 kill 11193

现在只需等到 11:00 到来，你的俘虏就会被杀死但会被保存

相关内容