Wireshark 中的高级过滤
Advanced filtering in wireshark
我有一个 pcap 文件,其中我有一个专有 header 从第 13 个字节到第 110 个字节。有没有一种方法可以从 pcap 文件中的每个数据包中剥离这部分,然后使用 wireshark 显示剩余的数据包?
如果您确定 每个 数据包在同一位置具有相同的专有 header 并且大小相同,那么您可以使用 editcap 删除不需要的字节。例如:
editcap -C 12:98 file_with_prop_hdr.pcap file_without_prop_hdr.pcap
我有一个 pcap 文件,其中我有一个专有 header 从第 13 个字节到第 110 个字节。有没有一种方法可以从 pcap 文件中的每个数据包中剥离这部分,然后使用 wireshark 显示剩余的数据包?
如果您确定 每个 数据包在同一位置具有相同的专有 header 并且大小相同,那么您可以使用 editcap 删除不需要的字节。例如:
editcap -C 12:98 file_with_prop_hdr.pcap file_without_prop_hdr.pcap