I think he want to use a lib to parse the pcap data.<br><br><p style="display:inline" dir="ltr"><font style="font-size:80.434784%" color ="#888888">发自 Smartisan T2</font></p><style type="text/css">* body { background-color: #ffffffff; color: #ff777777; line-height: 1.4;word-wrap: break-word; word-break: normal; } div {word-wrap: break-word; word-break: normal; } p {word-wrap: break-word; word-break: normal; text-indent: 0pt !important; } span {word-wrap: break-word; word-break: normal; } a {word-wrap: break-word; word-break: normal; } td {word-wrap: break-word; word-break: break-all; }</style><div class="quote"><div style="margin: 0 9px; font-size: 105%"><font style="line-height: 1.4" color="#629140"><span>Francis Dupont <Francis.Dupont@fdupont.fr>
于 2016年5月19日，上午12:17写道：</span></font></div><br type="attribution"><blockquote class="quote" style="margin:0 0 0 .8ex;border-left:2px #629140 solid;padding-left:1ex"><p dir="ltr"> In your previous mail you wrote: <br>
<br>
>  I am doing a data analysis work for the queries and responses captured in my <br>
>  recursive server. I find the DNS data has some fragments due to large DNS <br>
>  package and it is tricky to assemble them. Would anyone tell me any works of <br>
>  assembling IP layer fragments or any tools to parse DNS message from <br>
>  tcpdump/dnscap data? <br>
<br>
=> there were some scripts to perform IP reassembly or even TCP stream <br>
recovery on tcpdump output but today the simpler is to use wireshark <br>
which can read pcap capture files too (or tshark if you don't want <br>
a graphical tool). <br>
<br>
Regards <br>
<br>
Francis.Dupont@fdupont.fr <br>
_______________________________________________ <br>
dns-operations mailing list <br>
dns-operations@lists.dns-oarc.net <br>
https://lists.dns-oarc.net/mailman/listinfo/dns-operations <br>
dns-jobs mailing list <br>
https://lists.dns-oarc.net/mailman/listinfo/dns-jobs <br>
</p>
</blockquote></div>