6

我有一个用 Wireshark 捕获的 pcap。Wireshark 中是否有任何功能可以从结果中剥离以太网层?或者任何命令行工具来做到这一点?

4

1 回答 1

6

我搜索了更多关于 pcap 编辑器的信息,我发现这很有效:

$ bittwiste -I a.pcap -O b.pcap -M 12 -D 1-14

-M 12 将链接类型设置为 RAW
-D 1-14 删除链接数据层中的字节 1-14(以太网帧长 14 个字节)

当我在 Wireshark 中打开结果时,我在下面看到“原始数据包数据(无可用链接信息)”和 IP 帧。所以这就是我需要的。

于 2010-10-06T08:44:49.670 回答