tcpdump를 사용하여 마지막 N 초의 패킷을 캡처하는 방법

tcpdump를 사용하여 마지막 N 초의 패킷을 어떻게 캡처 할 수 있습니까?

tcpdump를 n 초 동안 실행 한 다음 종료하려면 시간 종료를 사용할 수 있습니다.

예를 들면 다음과 같습니다.

timeout 2 tcpdump -eni mon0

그렇지 않으면 tcpdump 에이 옵션이 있다고 생각하지 않습니다.

이 작업을 수행하는 가장 좋은 방법은 tcpdump의 -G 플래그를 사용하는 것입니다. -w와 함께 사용하면 N 초마다 덤프를 새 파일에 저장합니다. 예를 들어 :

tcpdump -w 출력 파일-% s -G 10

그러면 10 초마다 이름이 'outfile-XXXX'(여기서 XXXX는 에포크 이후의 시간 (초)를 나타냄)로 새 파일이 작성됩니다.

자세한 내용은 tcpdump (8) 및 strftime (3) 매뉴얼 페이지를 참조하십시오.

tcpdump 대신 tethereal을 사용할 수 있습니다. 이 명령 행 옵션을 사용할 수 있습니다.

-a duration:X

tcpdump options -w new.tcpdump

ps -ef |grep tcpdump

PID를 기록하고 11193이라고 말하십시오.

at 11:00 kill 11193

이제 11:00이 될 때까지 기다리면 캡처가 종료되지만 저장됩니다

나는 같은 문제를 해결하려고 노력했기 때문에 ncp 동안 tcpdump를 실행하는 휴대용 스크립트를 작성했습니다.

#tcpdump_for_n_sec.sh
n=$1
shift #remove first arg from $@ 
tcpdump $@ & x=$!
sleep $n
kill $x

tcpdump의 사용법 ./tcpdump_for_n_sec.sh sec 인수

./tcpdump_for_n_sec.sh 5 i- any not port 22 -s0 -wfile.pcap

sudo tcpdump -i -w & 이것은 tcpdump가 휴면 모드입니다.

• w : .pcap 파일에 출력 저장 & : tcpdump 프로세스가 절전 모드에서 실행됩니다. 참고 : 원하는 경우 사용 가능한 공간이 충분한 지 확인하십시오. 잠시 동안 실행합니다. 프로세스를 종료 할 때까지 로그 오프해도 중단되지 않습니다.