【发布时间】:2011-04-21 16:37:46
【问题描述】:
我有一个用 Wireshark 捕获的 pcap。 Wireshark 中是否有任何功能可以从结果中剥离以太网层?或者任何命令行工具可以做到这一点?
【问题讨论】:
【发布时间】:2011-04-21 16:37:46
【问题描述】:
我搜索了更多关于 pcap 编辑器的信息,我发现这是可行的:
$ bittwiste -I a.pcap -O b.pcap -M 12 -D 1-14
-M 12 将链接类型设置为 RAW
-D 1-14 删除链路数据层中的字节1-14(以太网帧长14字节)
当我在 Wireshark 中打开结果时,我看到“原始数据包数据(无可用链接信息)”和下面的 IP 帧。所以这就是我需要的。
【讨论】:
-
感谢您的回答,我只能从捕获中删除 PPP 层:
bittwiste -I a.pcap -O b.pcap -D 14-21; bittwiste -I b.pcap -O c.pcap -T eth -t ip