перенаправить созданный tcpdump файл pcap на другой сервер во время захвата пакетов

Настройте tcpdump на стандартный вывод необработанных данных PCAP и используйте SSH в качестве транспортного механизма, чтобы эти данные записывались в удаленный файл на удаленном хосте анализа в виде непрерывного потока.

Пример:

tcpdump -i eth0 port 8801 -w - | ssh ${remote_host} "cat >> $(hostname).pcap"

В приведенном выше примере я использовал $(hostname) чтобы оценить имя хоста сервера (на котором запускается tcpdump), чтобы разумно назвать удаленный файл, но, конечно, адаптируйте это к своим потребностям (возможно, включите метку времени в имя, если это полезно).

Альтернативный пример с именованием удаленного файла с временной меткой UNIX:

tcpdump -i eth0 port 8801 -w - | ssh ${remote_host} "cat > $(hostname)_$(date +%s).pcap"

Я думаю, вы можете получить желаемый результат, используя отдельный nc процесс, который слушает сервер, где tcpdump запускает и дублирует его на удаленный сервер.

Ты можешь сделать nc послушайте и отправьте (в качестве примера):

 nc -k -l localhost 9901 | nc 192.168.12.5 9901

тогда вы можете подключить любой tcpdump сеанс, который вам нужен с

 tcpdump -i eth0 port 8801 -w a.pcap | nc localhost 9901

В -k флаги "Заставляет nc продолжать прослушивание другого соединения после завершения текущего соединения."

Помните, что если вы используете дистрибутив на основе Debian, есть известная ошибка:

В netcat-traditional пакет в Debian / Ubuntu не слушает, как> должно. В этом случае используйте netcat-openbsd пакет вместо этого.