Eu encontrei um caminho !!!!
podemos fazer um hack no tcpdump como abaixo
tcpdump -i eth0 -C5 -W2 -w my.pcap -z. / stop.sh&
stop.sh
! / bin / sh
pkill tcpdump rm my.pcap0
e funcionou para mim ......
tcpdump -i eth0 -C 5 -W 1 -w <file name>&
Eu uso o comando acima para capturar pacotes para um arquivo pcap de 5MB em uma máquina Ubuntu. Uma vez que o arquivo pcap atinge o tamanho máximo (5MB), o arquivo é rotacionado e começa novamente a partir de 0KB.
Eu preciso saber se podemos parar o tcpdump de girar o arquivo quando ele atinge o tamanho máximo e soltar os pacotes a partir de então.
Se você tiver acesso ao wireshark / tshark:
tshark -i eth0 -a filesize:5000 -w my.pcap &
Tags tcpdump