tcpdumpを使用して最後のN秒のパケットをキャプチャする方法

tcpdumpを使用して最後のN秒のパケットをキャプチャするにはどうすればよいですか？

tcpdumpをn秒間実行してから終了する場合は、タイムアウトを使用できます。

例えば：

timeout 2 tcpdump -eni mon0

そうでなければ、tcpdumpにこれを行うオプションがあるとは思わない。

これを実現する最善の方法は、tcpdumpの-Gフラグを使用することだと思います。-wと共に使用すると、N秒ごとに新しいファイルにダンプが保存されます。例えば：

tcpdump -w outfile-％s -G 10

これにより、10秒ごとに 'outfile-XXXX'（XXXXはエポックからの秒数を表す）という名前の新しいファイルが作成されます。

詳細については、tcpdump（8）およびstrftime（3）のマニュアルページを参照してください。

tcpdumpの代わりにtetherealを使用できます。次のコマンドラインオプションを使用できます。

-a duration:X

tcpdump options -w new.tcpdump

ps -ef |grep tcpdump

PIDをメモし、11193と言います

at 11:00 kill 11193

11:00が来るまで待ってください。キャプチャは強制終了されますが、保存されます。

同じ問題を解決しようとしていたので、n秒の間tcpdumpを実行するポータブルスクリプトを作成しました。

#tcpdump_for_n_sec.sh
n=$1
shift #remove first arg from $@ 
tcpdump $@ & x=$!
sleep $n
kill $x

使用方法./tcpdump_for_n_sec.sh sec args for tcpdump

./tcpdump_for_n_sec.sh 5 i- any not port 22 -s0 -wfile.pcap

sudo tcpdump -i -w＆これにより、tcpdumpがスリープモードになります

• w：出力を.pcapファイルに保存＆：tcpdumpプロセスはスリープモードで実行される注：必要に応じて、十分なスペースがあることを確認してください。しばらく実行します。プロセスを強制終了するまでログオフしても中断しません。