Przechwytywanie TcpDump zatrzymuje się po kilku minutach. (Windows)

1

Próbuję przechwycić całą moją sieć za pomocą tcpdump.

Używam tcpdump.exe -i {} -W 5-C 10 -w plik_plików. Po 10 mennicach (+ -) przechwytywanie zatrzymało się z jakiegoś powodu, a tcpdump nadal działa.

Może istnieje parametr określający, ile czasu trzeba uchwycić? Znam parametr -G, ale obraca on pliki pcap.

Jeśli ktoś wie, dlaczego tak się stało i jak mogę to naprawić, będę wdzięczny za przechwytywanie przez nieograniczony czas :)

Używam tcpdump.exe w systemie Windows.

Nawiasem mówiąc, istnieje jakiś sposób użycia -i „eth0” w systemie Windows? Ponieważ w systemie Windows muszę sprawdzić numer interfejsu i użyć go w ten sposób -i „3”.

Dzięki.

John B. Burns
źródło

Odpowiedzi:

0

-C 10ogranicza rozmiar pliku do 10 MB.
Po capfilezapełnieniu pierwszego pliku capfilezostaną dodane pliki numerowane .

-W 5 ogranicza liczbę tych plików do 5, po czym zaczyna nadpisywać pliki od początku jako bufor obrotowy.

Uważam, że tcpdump nadal działa, zajęty nadpisywaniem swoich pięciu capfileplików.

Zobacz: Podręcznik strony TCPDUMP .

harrymc
źródło
Znam parametry.
John B. Burns,
Znam parametry. Ale plik capfile się nie zmienia, nie zastępuje pięciu plików, po prostu zatrzymuje przechwytywanie, widziałem pięć „plików capfile”, ale po kilku mennicach plik się nie zmienia, „Data modyfikacji” nie zmienia się już się zmienić.
John B. Burns,
Sugeruję, aby skopiować 5 plików, poczekać godzinę, a następnie porównać zawartość, aby zobaczyć, czy naprawdę się zawiesza. Jeśli zamiast obrotu zatrzyma się, oznacza to błąd. Nie wiem dokładnie, gdzie możesz to zgłosić, być może na tcpdump.org . W międzyczasie możesz uniknąć okrągłych buforów, jeśli jest to rzeczywiście funkcja buggy.
harrymc