Один способ преобразовать файл RAW_IP в инкапсулированный файл ethernet (который затем можно объединить с другими инкапсулированными файлами ethernet):
Используйте tshark, чтобы получить шестнадцатеричный дамппакеты из файла RAW_IP:
tshark -nxr pcap-file-name | grep -vP "^ +\d" > foo.txt
(grep используется для удаления строк «итогов» из вывода tshark).
Используйте text2pcap для преобразования обратно вфайл pcap при добавлении фиктивных заголовков Ethernet:
text2pacp -e 0x0800 foo.txt foo.pcap
Если вы хотите сохранить временные метки, вам придется немного поэкспериментировать с выводом tshark, чтобы получить текстовый файлкоторый содержит временные метки в формате, который будет принимать text2pcap, а также содержит информацию о шестнадцатеричном пакете.
[[Есть ли у tcpslice возможность удалять заголовки Ethernet?(Глядя на справочную страницу, кажется, что tcpslice используется для извлечения временных диапазонов из файла pcap).
Если у вас есть способ удалить заголовки Ethernet из файла захвата, вы должны убедиться, чтоПолученный файл pcap имеет тип инкапсуляции RAW_IP, прежде чем пытаться прочитать его с помощью wireshark, mergecap и т. д.).
Также обратите внимание, что параметр -T для mergecap просто принудительно устанавливает тип инкапсуляции, указанный в файле;Фактическая инкапсуляция не изменяется (т. Е. Байты не добавляются / не изменяются / не удаляются).]]