我有一个来自接口的 IP 数据包,其中包含 x 字节的自定义标头。有没有办法告诉tcpdump或tshark忽略前 x 字节并解码和显示 IP 数据包?任何指示都会有帮助;我不想写一个自定义的解析器
答案1
Wiresharkeditcap具有“截断”功能 ( -C),可以为此目的对数据包进行顶部和尾部处理。
您可以像这样实时进行:
tcpdump -w - [...filter...] | editcap -F libpcap -C 16 - - | tcpdump -nlvvv -r -