“tcpdump” para capturar os últimos pacotes

Ok, acho que encontrei uma solução :

sudo tcpdump -XX -i eth0 -w tcpamir-%s.txt -G 10 port 3050

Isso rotaciona seu arquivo de saída a cada 10 segundos para um novo arquivo chamado tcpamir-<unixtimestamp>.txt

Você também pode modificar o arquivo de saída, para que ele se sobrescreva todos os dias, se você estiver preocupado com o tamanho do arquivo pendente. Para mais informações, leia man 3 strftime .

Eu penso em algo como

sudo tcpdump -XX -i eth0 -w tcpamir-%R.txt -G 86400

Onde %R fornece o tempo em notação de 24 horas (12:40, por exemplo).

Leia arquivos de saída relevantes com

sudo tcpdump -r tcpamir-<unixtimestamp>.txt

Segunda solução:

Divida-o em mais comandos e salve-o como um script / função:

sudo tcpdump -XX -i eth0 port 3050 >> tcptmp.txt
sudo tail -n100 tcptmp.txt >> tcpamir.txt
sudo rm tcptmp.txt

Se você quiser apenas gravar todo o tráfego capturado, basta adicionar -w à linha removendo '| cauda > > tcpamir.txt '

# tcpdump -XX -i eth0 port 3050 -w tcpamir.cap

Se você analisar a captura em wireshark, a extensão deve ser .cap Quando você assegura que a captura é feita, você pode matar isso com ctrl + c

NOTA: -w [filename.cap] para gravar a captura em um arquivo