有一种方法可以做你想做的事，但它意味着：

• [Memory hog with one bigpcap]：从带有rdpcap()的磁盘中将现有的pcap读入scapyPacketList()，然后在接收到帧时将其写入PacketList。您可以随意选择将中间PacketList保存到pcap，但我认为scapy的wrpcap()中没有任何类似附加功能的功能。正如您所提到的，这种技术还意味着您将整个PacketList保存在内存中，直到完成。

• [将单个pcap文件粘合在一起]：只在内存中保留数据包的小快照。。。您应该每X分钟将pcap快照保存到磁盘，然后在脚本完成时将这些单独的文件聚合在一起。

您可以将linux中的pcap文件与wireshark包中的^{}组合在一起。。。以下命令将把pak1.pcap和pak2.pcap组合成all_paks.pcap：

mergecap -w all_paks.pcap pak1.pcap pak2.pcap

至于^{}，我查看了它们的源代码，它可能能够以增量方式编写数据包，但我无法说明它们的代码基础有多稳定或维护有多好。。。在提交日志中，它看起来有点被忽略了（上一次提交是2011年1月9日）。

对于后人来说，PcapWriter或RawPcapWriter看起来是在scapy 2.2.0中处理这个问题的更简单的方法。不过，除了浏览源代码外，找不到太多文档。一个简单的例子：

from scapy.utils import PcapWriter

pktdump = PcapWriter("banana.pcap", append=True, sync=True)

...
pktdump.write(pkt)
...

我想我在这里跟踪你，因为包是嗅探你想让他们都写在一个单一的pcap文件？虽然不能追加到pcap，但可以将数据包追加到列表，然后一次将它们全部写入pcap。

我不确定这是否能回答你的问题或有任何帮助，如果不让我知道，我可以让它满足你的需要。在这个例子中，我设置了一个阈值来创建一个新的pcap，用于监听500个包。如果您运行此命令两次，请小心，因为第二次运行时您的PCAP可能会被重写。

#!/usr/bin/python -tt

from scapy.all import *

pkts = []
iter = 0
pcapnum = 0

def makecap(x):
    global pkts
    global iter
    global pcapnum
    pkts.append(x)
    iter += 1
    if iter == 500:
        pcapnum += 1
        pname = "pcap%d.pcap" % pcapnum
        wrpcap(pname, pkts)
        pkts = []
        iter = 0

while 1:
    sniff(prn=makecap)

这应该会给你一点优势，但是最后几个数据包可能会丢失（降低if语句中的值以减轻这种情况）。建议同时在两边使用它，这样每个pcap都应该排好队，以后你可以像Mike建议的那样使用mergepcap，如果你喜欢的话。如果这对你有用，请告诉我。