* Акула
(в комплекте с wireshark) имеет эту встроенную функцию.
Убедитесь, что wireshark / tshark находится в переменной PATH, и откройте новое окно командной строки, если вы только что установили его. Дайте мне знать, если вы хотите, чтобы я был более ясным там.
Если вы хотите отбросить первые 4 пакета данных rtp на лету:
tcpdump -i eth0 port ! 5060 and dst 192.168.1.101 -T rtp -n -s0 -w- | editcap -F libpcap -C 4 - - | tcpdump -nlvvv -r - -w output.pcap
Для уже захваченного файла (capture.pcap):
tcpdump -r capture.pcap | editcap -F libpcap -C 4 - - | tcpdump -nlvvv -r - -w output.pcap
или
editcap capture.pcap output.pcap -C 4
Я сам не тестировал эти точные примеры, но я думаю, что опция tshark «chop» (-C) может быть тем, что вы ищете.