如何使用 tcpdump 捕获最后 N 秒的数据包?
答案1
如果您只想让 tcpdump 运行 n 秒然后退出,则可以使用超时。
例如:
timeout 2 tcpdump -eni mon0
否则我不相信 tcpdump 有这样做的选项。
答案2
我认为实现此目的的最佳方法是使用 tcpdump 的 -G 标志,当与 -w 一起使用时,它会每 N 秒将您的转储保存到一个新文件中。例如:
tcpdump -w 输出文件-%s -G 10
这将每 10 秒创建一个名为“outfile-XXXX”的新文件(其中 XXXX 代表自纪元以来的秒数)。
有关更多详细信息,请参阅 tcpdump(8) 和 strftime(3) 的手册页。
答案3
您可以使用 tethereal 代替 tcpdump。您可以使用以下命令行选项:
-a duration:X
答案4
tcpdump options -w new.tcpdump
ps -ef |grep tcpdump
记下 PID,假设它是 11193
at 11:00 kill 11193
现在只需等到 11:00 到来,你的俘虏就会被杀死但会被保存