У меня есть файл pcap MTP3, который при открытии в Wireshark показывает
Frame1
Ethernet
IPV4
MTP2
MTP3
SCCP
TCAP
GSM MAP
Мне удалось изменить байт 20-23, который является типом заголовка канального уровня, где в исходном файле было 01 00 00 00 то есть 1 = Ethernet. Итак, я изменил с 01 00 00 00 до 8D 00 00 00 , где 8D = 141 = MTP3 (http://www.tcpdump.org/linktypes.html)
D4 C3 B2 A1 02 00 04 00 00 00 00 00 00 00 00 00 00 00 04 00 8D 00 00 00
После этого и удаления байтов Ethernet, IPV4 и MTP2 файл был успешно понят Wireshark, показывая только следующие слои.
Frame1
MTP3
SCCP
TCAP
GSM MAP
Теперь у меня есть еще один файл, который имеет следующие слои:
Frame1
Ethernet
IPV4
SCTP
M3UA
SCCP
TCAP
GSM MAP
и мне нравится удалять уровни Ethernet, IPV4 и SCTP или хотя бы Ethernet и IPV4. Я сделал подобное, изменив байт 20 с 01 = Ethernet на F8 = 248 = SCTP и удалив байты для Ethernet, IPV4, но когда я открываю файл в Wireshark, на этот раз он сообщает о некорректном пакете или выдает ошибку и не может быть открыт.
Я хотел бы получить файл, который показывает только эти слои.
Frame1
SCTP
M3UA
SCCP
TCAP
GSM MAP
или же
Frame1
M3UA
SCCP
TCAP
GSM MAP
Это возможно сделать?