Как заставить Wireshark читать файлы pcap без заголовка без заголовка UDP / IP / Ethernet?

Question

Поддерживает ли Wireshark формат, не требующий заголовков TCP / UDP / Ethernet в каждом пакете?

Будут признательны любые другие (не pcap) форматы, поддерживаемые wireshark. Iнеобходимо получить данные без заголовка в wireshark для дальнейшего изучения.

Answer 1

Очевидно, это возможно с более новыми версиями. Смотрите их Как что-то расчленить Вики запись.

Как правило, в pcap header вы устанавливаете network linktype DLT в USER DLT #147 десятичное число. Pcap файлы просты в создании .

Затем в wireshark Edit->Preferences->Protocols->DLT_USER->Edit Encapsulations Table заполните диалоговое окно GUI. И вуаля! он анализирует необработанные пакеты.

ОБНОВЛЕНИЕ : Это не поддерживает некоторые протоколы (например, DNS). Но вы можете добавить поддельные заголовки, используя text2pcap (версия для разработки на декабрь 2010 г.).