Я немного больше искал о редакторах pcap и обнаружил, что это работает:
$ bittwiste -I a.pcap -O b.pcap -M 12 -D 1-14
-M 12 устанавливает тип ссылки в RAW
-D 1-14, удаляет байты 1-14 вканальный уровень данных (длина кадра Etherenet составляет 14 байтов)
Когда я открываю результат в Wireshark, я вижу «Необработанные пакетные данные (информация о ссылке отсутствует)» и IP-кадр ниже.Так что это то, что мне было нужно.