Eu tenho um pacote IP com x bytes de cabeçalho personalizado chegando em uma interface. Existe uma maneira de informar tcpdump ou tshark para ignorar os primeiros x bytes e decodificar e exibir o pacote IP? Quaisquer ponteiros seriam úteis; Eu não quero escrever um discector personalizado
O editcap do Wireshark tem um recurso "chop" ( -C ) que pode colocar pacotes top e tail para exatamente este propósito.
Você pode fazer isso em tempo real assim:
tcpdump -w - [...filter...] | editcap -F libpcap -C 16 - - | tcpdump -nlvvv -r -