Diz ao tcpdump para pular o cabeçalho personalizado

4

Eu tenho um pacote IP com x bytes de cabeçalho personalizado chegando em uma interface. Existe uma maneira de informar tcpdump ou tshark para ignorar os primeiros x bytes e decodificar e exibir o pacote IP? Quaisquer ponteiros seriam úteis; Eu não quero escrever um discector personalizado

    
por Mike Ryan 29.01.2013 / 23:09

1 resposta

1

O editcap do Wireshark tem um recurso "chop" ( -C ) que pode colocar pacotes top e tail para exatamente este propósito.

Você pode fazer isso em tempo real assim:

 tcpdump -w - [...filter...] | editcap -F libpcap -C 16 - - | tcpdump -nlvvv -r -
    
por 30.01.2013 / 15:12