Wireshark的Pcap文件格式分析
来源:互联网 发布:matlab字符串数组遍历 编辑:程序博客网 时间:2024/04/30 14:24
原文地址:http://blog.chinaunix.net/u2/82392/showart_1870732.html
前段时间因工作要求,需要对各种数据包进行分析和操作,内容涉及网路协议分析,socket,文件操作等。在此分享下学习和实践的经验。
首先介绍下网络抓包、协议分析的必备软件Ethereal,新版(Wireshark)以下还以 Ethereal代之,目前最新版本已经支持在无线局域网抓包了。Linux和Windows均有对应安装包,它们分别是gcc和VC++编译的。不过 Windows下是基于Winpcap而Linux下则是Libcap。Ethereal作为网路协议分析、学习、开发的敲门软件,其使用技巧及其原理机制(BPF)网上都有比较详尽的介绍,当初我收集的相关资料随后也会上传,不再多说。下面主要介绍下Ethereal默认的*.pcap文件保存格式。
Pcap文件头24B各字段说明:
Magic:4B:0x1A 2B 3C 4D:用来标示文件的开始
Major:2B,0x02 00:当前文件主要的版本号
Minor:2B,0x04 00当前文件次要的版本号
ThisZone:4B当地的标准时间;全零
SigFigs:4B时间戳的精度;全零
SnapLen:4B最大的存储长度
LinkType:4B链路类型
常用类型:
0 BSD loopback devices, except for later OpenBSD
1 Ethernet, and Linux loopback devices
6 802.5 Token Ring
7 ARCnet
8 SLIP
9 PPP
10 FDDI
100 LLC/SNAP-encapsulated ATM
101 "raw IP", with no link
102 BSD/OS SLIP
103 BSD/OS PPP
104 Cisco HDLC
105 802.11
108 later OpenBSD loopback devices (with the AF_value in network byte order)
113 special Linux "cooked" capture
114 LocalTalk
1 Ethernet, and Linux loopback devices
6 802.5 Token Ring
7 ARCnet
8 SLIP
9 PPP
10 FDDI
100 LLC/SNAP-encapsulated ATM
101 "raw IP", with no link
102 BSD/OS SLIP
103 BSD/OS PPP
104 Cisco HDLC
105 802.11
108 later OpenBSD loopback devices (with the AF_value in network byte order)
113 special Linux "cooked" capture
114 LocalTalk
Packet 包头和Packet数据组成
字段说明:
Timestamp:时间戳高位,精确到seconds
Timestamp:时间戳低位,精确到microseconds
Caplen:当前数据区的长度,即抓取到的数据帧长度,由此可以得到下一个数据帧的位置。
Len:离线数据长度:网络中实际数据帧的长度,一般不大于caplen,多数情况下和Caplen数值相等。
Packet 数据:即 Packet(通常就是链路层的数据帧)具体内容,长度就是Caplen,这个长度的后面,就是当前PCAP文件中存放的下一个Packet数据包,也就是说:PCAP文件里面并没有规定捕获的Packet数据包之间有什么间隔字符串,下一组数据在文件中的起始位置。我们需要靠第一个Packet包确定。最后,Packet数据部分的格式其实就是标准的网路协议格式了可以任何网络教材上找得到。
----------------------------------------------------------------------------------------------------
根据这些资料我整理了一个类可以读取 PCAP文件
地址http://download.csdn.net/source/2694540
- Wireshark的Pcap文件格式分析
- Wireshark的Pcap文件格式分析
- WireShark抓包的pcap文件格式分析
- WireShark抓包的pcap文件格式分析
- 简洁的Pcap文件格式--Wireshark
- Wireshark(Etherea)的Pcap文件格式分析1
- Wireshark的Pcap文件格式分析及解析源码【转】
- Wireshark的Pcap文件格式分析及解析源码
- Pcap 文件格式和 WireShark
- wireshark的抓包文件格式-pcap文件格式学习
- PCAP 文件格式协议分析
- pcap文件格式分析
- PCAP文件格式分析
- pcap文件格式分析
- pcap文件格式分析
- wireshark--pcap包格式分析
- 使用wireshark分析tcpdump出来的pcap文件
- wireshark文件pcap的格式
- COM套间
- Master Pages Definition(SharePoint 2007 SDK)
- Android数据流详解
- SMS Messaging in Android(1)
- php 多文件上传
- Wireshark的Pcap文件格式分析
- Python安装MySQLdb模块(Linux)
- 为啥要用change master而不是配置文件
- 用户自定义函数
- kernel insmod 命令
- java和javascript的区别
- NORCO工控机上安装Linux
- RAD Studio中splitter的用法
- 《GOF设计模式》—原型(Prototype)—Delphi源码示例:原型接口