丢弃数据包有效负载的工具？

Question

我正在尝试对我拥有的 pcap 文件中的数据包进行匿名化。我需要丢弃所有数据包有效负载/内容（只留下标头信息），并且想知道是否有一个工具可以用于此目的（在 Linux 上）？我曾考虑过使用 tcpdump 来指定 snaplen，但随着标头长度的变化，我认为这行不通。

如果没有一个工具可以完成此任务，那么指向哪个编码库最好（最简单）的方向也可以。我不想走这条路，因为我几乎没有网络编程经验。

非常感谢任何帮助。

Answer 1

您不需要任何网络编程经验即可对数据包进行匿名化。输出文件的格式在 pcap-savefile(5) 联机帮助页。您需要查找要处理的各种协议的布局，以确定哪些字段需要匿名。您还应该查看链接层标头类型文档，网址为tcpdump.org 来帮助您入门。

编辑：还要看看 libpcap 本身...根据 pcap-savefile 联机帮助页：

注意：应用程序和库
如果可能的话，应该使用 libpcap
读取保存文件，而不是读取自己的代码
保存文件。
如果将来 libpcap 支持新的文件格式，
应用-
使用 libpcap 读取保存文件的系统和库将是
能够
读取新格式的保存文件，但应用程序和
图书馆使用
他们自己的读取保存文件的代码必须更改为
支持
新的文件格式。