我有一些pcap格式的数据包捕获。每个数据包都包含一个消息,我有解剖器,但每个数据包前面都有4个字节。这意味着解剖器将无法理解格式。
无论如何,我是否会破坏这些捕获,以便它们在剥离掉这4个字节的情况下从另一端出来?
答案 0 :(得分:1)
您需要编辑至少一个解剖器才能完成您想要的操作。最好的办法是编写一个解析器来处理B协议插入的标头,C协议解析器需要注册该标头。这为您提供了额外的好处,即能够检查B协议标头中的信息并过滤其字段。
但是,如果你真的不想这样做,你可以修改A协议或C协议解析器来忽略这四个字节:在A中,你不会在给定的tvb
中包含那些字节到C;或者在C中你会跳过tvb
中的前四个字节。