ฉันมีไฟล์ pcap MTP3 ที่เมื่อฉันเปิดใน Wireshark แสดงให้เห็น
Frame1
Ethernet
IPV4
MTP2
MTP3
SCCP
TCAP
GSM MAP
ฉันสามารถแก้ไขไบต์ 20-23 ซึ่งเป็นประเภทส่วนหัวของเลเยอร์ลิงก์ที่ในไฟล์ต้นฉบับ01 00 00 00คือ 1 = อีเธอร์เน็ต ดังนั้นฉันปรับเปลี่ยนจาก01 00 00 00เป็น8D 00 00 00โดยที่ 8D = 141 = MTP3 ( http://www.tcpdump.org/linktypes.html )
D4 C3 B2 A1 02 00 04 00 00 00 00 00 00 00 00 00 00 00 04 00 8D 00 00 00
หลังจากทำสิ่งนี้และลบอีเธอร์เน็ตแล้ว IPV4 และ MTP2 ไบต์ไฟล์ Wireshark สามารถเข้าใจได้โดยแสดงชั้นต่อไปนี้เท่านั้น
Frame1
MTP3
SCCP
TCAP
GSM MAP
ตอนนี้ฉันมีไฟล์อื่นที่มีเลเยอร์ต่อไปนี้:
Frame1
Ethernet
IPV4
SCTP
M3UA
SCCP
TCAP
GSM MAP
และฉันต้องการลบเลเยอร์อีเทอร์เน็ต IPV4 และ SCTP หรืออย่างน้อยอีเธอร์เน็ตและ IPV4 ฉันได้ทำการเปลี่ยน byte 20 จาก 01 = Ethernet เป็น F8 = 248 = SCTP และทำการลบ bytes สำหรับ Ethernet, IPV4 แต่เมื่อฉันเปิดไฟล์ใน Wireshark คราวนี้บอกว่า Malformed packet หรือให้ข้อผิดพลาดและไม่สามารถเปิดได้
ฉันต้องการรับไฟล์ที่แสดงเฉพาะเลเยอร์เหล่านี้
Frame1
SCTP
M3UA
SCCP
TCAP
GSM MAP
หรือ
Frame1
M3UA
SCCP
TCAP
GSM MAP
เป็นไปได้ที่จะทำเช่นนี้?