答案1
您可能希望使用 tshark 而不是 tcpdump。Tshark 使用相同的 pcap 格式,但它有更好的连续记录选项。
一个选择是tshark 环形缓冲模式。
-b 使 TShark 以“多文件”模式运行。在“多文件”模式下,TShark 将写入多个捕获文件。当第一个捕获文件写满时,TShark 将切换到下一个文件,依此类推。
创建的文件名基于 -w 选项给出的文件名、文件编号以及创建日期和时间,例如 outfile_00001_20050604120117.pcap、outfile_00002_20050604120523.pcap、...
答案2
我相信tcpdump可以通过使用这些-W -C -G选项来实现这一点。请参阅手册页了解详情。
-W
与 -C 选项结合使用,这会将创建的文件数限制为指定数量,并从头开始覆盖文件,从而创建“旋转”缓冲区。此外,它将使用足够的前导 0 来命名文件,以支持最大文件数,从而使它们能够正确排序。与 -G 选项结合使用,这会限制创建的旋转转储文件的数量,达到限制时以状态 0 退出。如果也与 -C 一起使用,则此行为将导致每个时间片的循环文件。