---

问题背景

在嵌入式设备中(Linux系统)，为了分析两个网络节点的通讯问题，往往需要用到tcpdump，抓一个.pcap的包在PC端进行分析。博主在实际操作中发现，抓包无法实时落盘。

---

解决办法

# 下面的命令是写在启动脚本后者是一个单独的脚本中的命令
tcpdump -i eth0 -nnAX 'dst host 192.168.1.10 and port 50081' -w /userdata/tcpdump.pcap

抓取目标地址为10端口为50081的包，存在/userdata/路径下，文件名：tcpdump.pcap

如何快速落盘呢？

# IO同步
sync
# 延时等待同步完成，延时时间自定
sleep 1
# 结束进程
pkill tcpdump