标签: wireshark
我有一个pcap文件,其中有一个从第13字节到第110字节的专有标头。有没有办法我可以从pcap文件中的每个数据包中剥离这部分,然后使用wireshark显示剩余的数据包?
答案 0 :(得分:1)
如果您确定每个数据包在同一位置具有相同的专有标头并且大小相同,那么您可以使用editcap删除不需要的字节。例如:
editcap
editcap -C 12:98 file_with_prop_hdr.pcap file_without_prop_hdr.pcap