2015-03-18 Ether frameヘッダの欠如したpcapをwiresharkでみる方法 LinuxのEthernet ネットワークインターフェイスからtcpdumpで取得したpcapがなんかおかしい。バイナリで見るとEther frameヘッダが欠如してるし。。そんなときは、pcapヘッダのdata link typeを'RAW'に設定することでペイロードを直接IPとして見てくれる。以下のコマンドで21byte目を書き換えて、wiresharkで開けばいいわけです。 echo -en '\x65' | dd bs=1 seek=20 conv=notrunc of=./tcpdump.pcap