Я перехватываю трафик с маршрутизатора microtik на свой Linux-сервер и записываю в большой файл. Я ищу способ подачи с текущего конца файла вперед, так как это файл размером в несколько ГБ, и я не могу позволить себе читать с самого начала, но tshark (или tcpdump) сначала должен прочитать заголовок, иначе он завершится с «Нераспознанным форматом libpcap». Таким образом, tail -f не работает. Любые идеи?
Итак, я нашел быстрый способ получить что-то похожее на то, что искал, получив сначала заголовок pcap, а затем след от текущего конца файла, используя что-то вроде этого:
(dd if=<CAPTUREFILE> bs=1 count=24; tail -c 0 -f <CAPTUREFILE>) | tcpdump -nn -r -
Единственная проблема в том, что с помощью этого метода я не могу получить некоторые из последних пакетов, что я и искал.