我有一个用Wireshark捕获的pcap。 Wireshark中是否有任何功能会从结果中剥离以太网层?或者任何命令行工具吗?
答案 0 :(得分:5)
我搜索了一些关于pcap编辑器的内容,我发现这有效:
$ bittwiste -I a.pcap -O b.pcap -M 12 -D 1-14
-M 12将链接类型设置为RAW
-D 1-14删除链接数据层中的字节1-14(Etherenet帧长度为14个字节)
当我在Wireshark中打开结果时,我看到“原始数据包数据(没有可用的链接信息)”和下面的IP帧。所以这就是我需要的。