В ответах на Tcpdump на нескольких интерфейсах , который @Marged связан с указанным выше, вы можете запустить tcpdump (или tshark или dumpcap) указав -i any в качестве интерфейса, если вы не возражаете захватить трафик на всех интерфейсах. И если вы только хотите получить трафик на этих 2 определенных интерфейсах, то вы можете одновременно запустить 2 отдельных экземпляра инструмента захвата, один захват на интерфейсе eth0, другой захват на интерфейсе eth1, а затем объединить два захватывать файлы вместе, используя инструмент, такой как mergecap.
В качестве альтернативы - и на мой взгляд, гораздо проще - просто использовать один экземпляр dumpcap или tshark для захвата трафика на обоих интерфейсах в один файл захвата без необходимости объединения отдельных файлов захвата. Как указывают справочные страницы для этих инструментов, «Эта опция может появляться несколько раз. При захвате с нескольких интерфейсов файл захвата будет сохранен в формате pcapng.»
Например:
tshark -i eth0 -i eth1 -w eth0_eth1.pcapng