通过 tcpdump 自动拆分 pcap 文件 [关闭]

Question

我想执行一个 tcpdump ，它会在一个 2GB 文件之后生成一个新文件。
据我从另一篇文章中了解到的，不可能生成大于 2 GB 的文件。
这就是我目前正在查看的 tcpdump：

tcpdump -C 100 -W 2048 -w /tmp/example.pcap

它应该每 2GB 创建一个新的 pcap 文件（example.pcap00, example.pcap01），但它没有。可能是因为我试图将它写在外部磁盘上。所以我认为我需要先创建文件，然后再将 tcpdump 数据写入其中。
我该怎么做？
它应该使用 2GB pcap 数据创建新文件，直到 1TB HD 已满。所以我不能真正使用 -C 选项，因为我不知道我提前需要多少。
解决我的问题的最佳方法是什么？

Answer 1

据我从其他帖子中了解到的，不可能生成大于 2 GB 的文件。

这取决于您运行的操作系统，是否在 64 位机器上运行（对于某些操作系统；对于 OS X 和 *BSD，这无关紧要），libpcap tcpdump 的版本正在使用，以及该版本的 libpcap 是如何构建的。

tcpdump -C 100 -W 2048 -w /tmp/example.pcap

这意味着“当文件大于 1 亿字节并且不超过 2048 个文件时更改您正在写入的文件”。 （不，-W 没有指定最大文件大小。）

它应该每 2GB 创建一个新的 pcap 文件（example.pcap00，example.pcap01），

不，每 1 亿字节。阅读精美的手册页。

但事实并非如此。可能是因为我正在尝试将其写入外部磁盘。

为什么外部磁盘与此有关？

如果“它没有”，这是否意味着“它不创建新文件，它只是继续写入旧文件”或“它报告错误并在写入第一个文件后退出”？如果是后者，您可能希望看到this question 的答案。