Linux 从两个不同接口合并tcpdump

你能帮我想一个办法吗，如何满足以下要求

我在一台服务器上有两个以太网端口。Eth0和Eth1。两个接口都承载着流量。我想捕获两个接口的数据包转储并合并到一个文件中

多谢各位 Luke

作为要提供的答案，@Marged链接到上面，如果您不介意捕获所有接口上的流量，您可以运行（或）指定

-i any

作为接口。如果您只想在这两个特定接口上获得流量，那么您可以同时运行捕获工具的两个独立实例，一个在eth0接口上捕获，另一个在eth1接口上捕获，然后使用诸如的工具将两个捕获文件合并在一起

或者，在我看来，更简单的方法是只使用

dumpcap

或

tshark

的一个实例将两个接口上的流量捕获到一个捕获文件，而不需要合并单独的捕获文件。正如这些工具的手册页所示，“此选项可能出现多次。从多个接口捕获时，捕获文件将以pcapng格式保存。”

例如：

tshark -i eth0 -i eth1 -w eth0_eth1.pcapng

---

欢迎来到堆栈溢出！不幸的是，像这样的问题是针对堆栈溢出的，因此应该在这里询问：。堆栈溢出是一个用于编程和开发问题的网站。这个问题似乎离题了，因为它与编程或开发无关。请参见帮助中心中的。也许，或者是一个更好的问题。嗨，克里斯，我能每15秒旋转一次上面的命令吗？我们能在15秒结束时压缩到tar.gz吗？同样，它将生成大量文件，直到thsark进程停止。正如

dumpcap

和

tshark

手册页所示，您可以使用

-b duration:value

选项（其中value是秒数）指定在切换到下一个文件之前捕获数据包的时间。由于

dumpcap

和

tshark

都不支持编写压缩捕获文件（但），因此您必须自己想出另一种解决方案来处理该问题。Peter Wu已经打开了一个bug报告，请求支持使用这些工具编写压缩捕获文件，但到目前为止还没有人实现它。错误在这里：