如何丢弃wireshark捕获的前4个RTP字节？

Question

在wireshark上捕获H460数据时（在复用模式下），wireshark无法正确解析RTP数据。它应该丢弃任何 RTP 数据包上的前 4 个字节。寻找如何做到这一点的提示

谢谢 阿米特

Answer 1

shark（与wireshark一起打包）内置了此功能。

确保wireshark/tshark位于您的PATH变量中，如果您刚刚设置了它，请打开一个新的命令行窗口。如果您想让我说得更清楚，请告诉我。

• 如果您想即时丢弃前 4 个 rtp 数据包：

  tcpdump -i eth0 端口！ 5060 和 dst 192.168.1.101 -T rtp -n -s0 -w- | editcap -F libpcap -C 4 - - | 编辑tcpdump -nlvvv -r - -w 输出.pcap
  

• 对于已捕获的文件 (capture.pcap)：

  tcpdump -r capture.pcap | tcpdump -r capture.pcap | editcap -F libpcap -C 4 - - | 编辑tcpdump -nlvvv -r - -w 输出.pcap
  

或者

editcap capture.pcap output.pcap -C 4

我自己没有测试这些确切的示例，但我认为 tshark 的“chop”（-C）选项可能正是您正在寻找的。