丟棄數據包有效負載的工具？

Question

我想從我有一個pcap文件匿名數據包。我需要丟棄所有數據包的有效載荷/內容（只留下標題信息），並想知道是否會有一個工具可以用於此（在Linux上）？我曾經考慮過使用tcpdump來指定snaplen，但是頭長度會改變，我不認爲這會起作用。

如果沒有一種工具可以實現這一點，那麼編碼庫最好（最簡單）方向的一點也可以。我寧願不採取這種路線，因爲我幾乎沒有網絡編程經驗。

任何幫助，非常感謝。

Answer 1

您不需要任何網絡編程經驗就可以對數據包進行匿名化處理。輸出文件的格式在pcap-savefile(5)聯機幫助頁中有詳細記錄。您將需要查找您將要處理的各種協議的佈局，以確定哪些字段需要匿名。您還應該查看位於tcpdump.org的link layer header types文檔以幫助您開始。

編輯：另外，也要看看自己的libpcap ......根據PCAP-SAVEFILE手冊頁：

注：應用程序和庫 應該，如果可能的話，使用的libpcap來 閱讀savefiles，而不是他們的自己的代碼讀取 保存文件。 如果在將來，一個新的文件格式是libpcap的支持， applica- tions和使用libpcap的閱讀savefiles庫將 能夠 閱讀savefiles的新格式，但使用 自己的應用程序和 庫讀取保存文件的代碼將不得不更改爲 支持 新的文件格式。