Pseudo Engineer

ソフトウェアの話とか書いてくよ

Ether frameヘッダの欠如したpcapをwiresharkでみる方法

LinuxEthernet ネットワークインターフェイスからtcpdumpで取得したpcapがなんかおかしい。バイナリで見るとEther frameヘッダが欠如してるし。。

そんなときは、pcapヘッダのdata link typeを'RAW'に設定することでペイロードを直接IPとして見てくれる。

以下のコマンドで21byte目を書き換えて、wiresharkで開けばいいわけです。
echo -en '\x65' | dd bs=1 seek=20 conv=notrunc of=./tcpdump.pcap