我正在尝试对我拥有的 pcap 文件中的数据包进行匿名处理。我需要丢弃所有数据包的有效负载/内容(仅保留标头信息),并且想知道是否有一个工具可以用于此(在 Linux 上)?我曾考虑过使用 tcpdump 并指定 snaplen,但随着标头长度的变化,我认为这不会奏效。
如果没有一个工具可以做到这一点,那么最好(最简单)的编码库也可以工作。我宁愿不走那条路,因为我几乎没有网络编程经验。
任何帮助深表感谢。
问问题
208 次
1 回答
0
您不需要任何网络编程经验来匿名数据包。输出文件的格式在pcap-savefile(5) 手册页中有详细记录。您将需要查找您将要处理的各种协议的布局,以确定哪些字段需要匿名化。您还应该查看tcpdump.org上的链接层标头类型文档以帮助您入门。
编辑:还要看看 libpcap 本身......根据 pcap-savefile 手册页:
注意:如果可能,应用程序和库应该使用 libpcap 来读取保存文件,而不是使用自己的代码来读取保存文件。如果将来 libpcap 支持新的文件格式,则使用 libpcap 读取保存文件的应用程序和库将能够读取新格式的保存文件,但使用自己的代码读取保存文件的应用程序和库将不得不进行更改以支持新的文件格式。
于 2011-03-18T04:34:13.327 回答