我正在从microtik路由器捕获stream量到我的linux服务器并写入一个大文件。 我正在寻找一种方法来从当前文件结束前进,因为它是一个几GB的文件,我不能从头开始读取,但tshark(或tcpdump)需要先读取头,否则它终止与“无法识别的libpcap格式”。 所以尾巴-f不工作。 有任何想法吗?
所以,我发现了一个快速的方法来获得类似于我正在寻找的东西,通过首先获得pcap头,然后从当前文件结尾,使用这样的东西:
(dd if=<CAPTUREFILE> bs=1 count=24; tail -c 0 -f <CAPTUREFILE>) | tcpdump -nn -r - 唯一的问题是,使用这种方法,我不能得到一些最后的数据包,这是我正在寻找。