Java之Pcap文件解析(三:解析文件)

最新推荐文章于 2024-05-26 21:17:11 发布
最新推荐文章于 2024-05-26 21:17:11 发布
阅读量1.1w 收藏 28
点赞数 13
分类专栏: Pcap文件解析 文章标签: java pcap文件解析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/GuLu_GuLu_jp/article/details/50495285
版权

前言

数据结构已经定义好了,那么现在就开始正式解析Pcap文件了。
注:以下仅贴出核心代码,项目全部代码会在文章结尾处给出下载链接

解析Pcap文件

1 读取整个Pcap文件到内存

FileInputStream fis = null;
    try {
        fis = new FileInputStream(pcap);
        int m = fis.read(file_header);
        //....
    } catch // .....

2 读取文件头

/**
     * 读取 pcap 文件头
     */
    public PcapFileHeader parseFileHeader(byte[] file_header) throws IOException {
        PcapFileHeader fileHeader = new PcapFileHeader();
        byte[] buff_4 = new byte[4];    // 4 字节的数组
        byte[] buff_2 = new byte[2];    // 2 字节的数组

        int offset = 0;
        for (int i = 0; i < 4; i ++) {
            buff_4[i] = file_header[i + offset];
        }
        offset += 4;
        int magic = DataUtils.byteArrayToInt(buff_4);
        fileHeader.setMagic(magic);

        for (int i = 0; i < 2; i ++) {
            buff_2[i] = file_header[i + offset];
        }
        offset += 2;
        short magorVersion = DataUtils.byteArrayToShort(buff_2);
        fileHeader.setMagorVersion(magorVersion);

        for (int i = 0; i < 2; i ++) {
            buff_2[i] = file_header[i + offset];
        }
        offset += 2;
        short minorVersion = DataUtils.byteArrayToShort(buff_2);
        fileHeader.setMinorVersion(minorVersion);

        for (int i = 0; i < 4; i ++) {
            buff_4[i] = file_header[i + offset];
        }
        offset += 4;
        int timezone = DataUtils.byteArrayToInt(buff_4);
        fileHeader.setTimezone(timezone);

        for (int i = 0; i < 4; i ++) {
            buff_4[i] = file_header[i + offset];
        }
        offset += 4;
        int sigflags = DataUtils.byteArrayToInt(buff_4);
        fileHeader.setSigflags(sigflags);

        for (int i = 0; i < 4; i ++) {
            buff_4[i] = file_header[i + offset];
        }
        offset += 4;
        int snaplen = DataUtils.byteArrayToInt(buff_4);
        fileHeader.setSnaplen(snaplen);

        for (int i = 0; i < 4; i ++) {
            buff_4[i] = file_header[i + offset];
        }
        offset += 4;
        int linktype = DataUtils.byteArrayToInt(buff_4);
        fileHeader.setLinktype(linktype);

//      LogUtils.printObjInfo(fileHeader);

        return fileHeader;
    }

3 读取数据头

/**
     * 读取数据包头
     */
    public PcapDataHeader parseDataHeader(byte[] data_header){
        byte[] buff_4 = new byte[4];
        PcapDataHeader dataHeader = new PcapDataHeader();
        int offset = 0;
        for (int i = 0; i < 4; i ++) {
            buff_4[i] = data_header[i + offset];
        }
        offset += 4;
        int timeS = DataUtils.byteArrayToInt(buff_4);
        dataHeader.setTimeS(timeS);

        for (int i = 0; i < 4; i ++) {
            buff_4[i] = data_header[i + offset];
        }
        offset += 4;
        int timeMs = DataUtils.byteArrayToInt(buff_4);
        dataHeader.setTimeMs(timeMs);

        for (int i = 0; i < 4; i ++) {
            buff_4[i] = data_header[i + offset];
        }
        offset += 4;
        // 得先逆序在转为 int
        DataUtils.reverseBy
最低0.47元/天 解锁文章
bascker
关注
  • 13
    点赞
  • 28
    收藏
    觉得还不错? 一键收藏
  • 12
    评论
专栏目录
java抓包后对pcap文件解析示例
09-04
主要介绍了java抓包后对pcap文件解析示例,需要的朋友可以参考下
基于Java_使用Jpcap进行网络抓包并分析(6千字保姆级教程)
林二月的博客
05-13 1万+
使用 JPCAP或 wireshark等抓包,可以使用JAVA、PYTHON或C++写代码对数据进行分析,最后可视化显示;本文只实现了使用 Java语言的jpcap接口 在 IDEA环境下抓取数据包的功能这份大作业需要挺多的时间去完成的,只能一部分一部分去啃。这篇博客也只是解决了如何从网卡中捕捉并过滤数据包,但还未能对捕获到的数据包进行分析和可视化。剩下的这些内容就等下一篇博客吧!如果有我表述的不清楚或者错误的地方,欢迎在评论区一起讨论、批评指正。拜拜!
Java自动调用wireshark解析pcap文件并输出结果
weixin_42209881的博客
04-16 574
左边是代码输出的字符串,右边是wireshark手动解析的,一模一样,如果想讲究的话,也可以把左边的字符串格式化,放在一个tree里,看起来也比较有层次感。首先主机上得先安装wireshark的工具软件,然后最好把环境变量配上,如果不配的话,调用的时候,需要用绝对路径,建议配上环境变量,关于pcap文件的介绍,和怎么使用代码手动生成一份pcap文件,可以参考我在其他文章中的介绍,直接就可以看到返回的结果,和wireshark里一模一样的,有了pcap文件之后,再看怎么调用wireshark解析
pcap文件理解
最新发布
qq_54122067的博客
05-26 1411
Pcap文件中是二进制,使用winhex软件,打开是十六进制数,winhex是只有十六进制数,而wireshake自动将pcap中的数据包按照时间顺序将分开并赋予一个No.标号(标号是时间顺序)。:32位,一个UNIX格式的精确到秒时间值,用来记录数据包抓获的时间,记录方式是记录从格林尼治时间的1970年1月1日 00:00:00 到抓包时经过的秒数;ttl: 占据一个字节(8位),表示生存时间(Time to Live),用于限制数据包在网络中的生存时间,每经过一个路由器,TTL减1,直到为0时被丢弃。
网络抓包数据文件(.pcap/.cap)解析工具(Java实现)
我要学Java_blog
09-27 7197
前言 pcap/.cap文件是常用的数据报存储格式文件,数据按照特定格式存储,普通编辑器无法正常打开该类型文件,使用Ultra Edit编辑器能够以16进制的格式查看数据,无法直观查看数据重要信息。需要特定的解析工具软件读取查看如WiresharkPortable或Microsoft Network Monitor等。 问题 然而一些开发任务需要数据文件(.pcap/.cap)某项信息进行后续处理,无法使用软件获取信息输入到程序中,对开发任务带来一些困难。 解决 引入pcap4j库,该库通过网
Java抓包分析四(基于jnetpcap进行抓包)——分析Http请求数据包
歪桃的博客
09-12 1万+
基于jnetpcap解析http数据包
Java 解析Pcap文件(1)
qq_41512783的博客
03-11 3405
Java 解析Pcap文件(1) @author:Jingdai @date:2021.03.11 由于毕业实验是关于TLS流量分析的,所以最近学习了一下Pcap文件解析,现记录一下。 Pcap文件结构 如果所示,Pcap文件由一个Global Header后面接着若干组Packet Header 和 Packet Data 组成。 先看一下 Global Header 的结构,它由 24B 组成,字段按照Pcap文件的顺序列出。 magic,占4B,如果它的值是0xa1b2c3d4,代表 Pc
java解析Pcap(io.pkts)
不忘初心的专栏
10-26 8292
目前解析Pcap的第方库有Pcap4j、JnetPcap等,这两个库需要调用Native代码,window下运行需要dll文件,linux下需要so包,跨平台特性不是很好,现在推荐使用io.pkts来解析Pcap网络报文,纯java代码就可以实现,使用起来非常方便,跨平台特性非常好。 下面简单介绍下如何使用: 1、新建Gradle工程,在build.gradle文件增加下面依赖 /
pcap文件解析,并且按照五元组分类
06-14
本文将深入探讨如何使用Java语言解析pcap文件,并基于五元组进行数据包分类。 首先,理解pcap文件pcap(Packet Capture)文件是由libpcap库生成的数据文件,它包含了在网络接口上捕获的原始网络数据包。每个...
java解析Pcap文件获取五元组(可执行)
07-13
本教程将深入探讨如何使用Java解析Pcap文件,以提取其中的五元组信息。 五元组是网络数据包分析中的基本概念,它由源IP地址、目的IP地址、源端口号、目的端口号和传输层协议(通常是TCP或UDP)组成。这五个元素唯一...
PCAPFlowParser:用于从PCAP文件生成流特征的解析
05-17
用于从PCAP文件生成流特征的解析器 基于ISCXFlowMeter项目。 特征 无双向 超时输入(以秒为单位) 来自捕获的报头的在线数据包的长度,以获取数据包的实际大小(解决了由于已从捕获的数据包中删除了有效负载而从...
pacp解析java代码
05-23
使用java代码解析pacp文件,划分五元组,解析每位的数据
hspcap_流量监控_pcap4j解析http_pcap4j解析ssh_pcap4j_
09-29
Java环境中,pcap4j是一个强大的开源库,它为开发者提供了方便的API,用于捕获、分析和处理网络包。 首先,我们要理解pcap4j的基本原理。pcap4j是基于libpcap/WinPcap的,它可以在底层直接与网络接口通信,实时...
Java抓包分析二(基于jnetpcap进行抓包)——快速入门案例
歪桃的博客
09-06 1万+
基于jnetpcap进行一个快速入门的抓包案例
A.pcapng解析
qq_59656429的博客
12-03 569
2.通过分析A.pcapng数据包,找到黑客扫描网段的范围是多少(ip之间用逗号隔开如:192.168.1.1-192.168.1.2)将该范围作为flag提交.4.通过分析A.pcapng数据包,找到服务器安装的第一个修补程序,将修补程序的名称作为flag提交.1.通过分析A.pcapng数据包,找到黑客连接一句话木马的密码,将该密码作为flag提交.5.通过分析A.pcapng数据包,找到黑客下载的文件是什么,将该文件内容作为flag提交.
pcap java_java解析Pcap文件获取五元组(可执行)
weixin_36486217的博客
02-19 461
【实例简介】java解析Pcap文件获取五元组(可运行)【实例截图】【核心代码】PcapTestZ└── PcapTestZ└── PcapTestZ├── 111.206.37.193#08#6#222.20.52.208#9111.pcap├── 111.206.37.193#80#6#222.20.52.208#23406.pcap├── 115.156.147.219#2266#6#222...
java 生成.pcap_java抓包后对pcap文件解析示例
weixin_35589827的博客
03-07 882
这是自己写的简单的解析pcap文件,方便读取pcap文件,大家参考使用吧复制代码 代码如下:InputStream is = DataParser.class.getClassLoader().getResourceAsStream("baidu_cdr.pcap");Pcap pcap = PcapParser.unpack(is);is.close();byte[] t = pcap.getD...
Java 解析Pcap文件(2)
qq_41512783的博客
03-11 1419
Java 解析Pcap文件(2) @author:Jingdai @date:2021.03.11 前面介绍了Pcap文件的结构并对Pcap文件的 Global Header 和 Packet Header进行了解析,接下来就是对Packet Data 即数据链路层的帧进行解析了。 数据链路层解析 Pcap包的Packet Data就是数据链路层的帧,可以根据前面的Packet Header 中的 capLen 字段知道对应的Packet Data 数据的字节数,从而进行读取。这里仅仅以以太网的帧为例进
Java抓包分析(基于jnetpcap进行抓包)——抓取Http请求数据包
热门推荐
歪桃的博客
09-07 1万+
认识http协议包,基于jnetpcap抓取一个http包数据
java解析pcap文件五元组信息
07-01
### 回答1: Java可以利用第方库Jpcap解析pcap文件的五元组信息。在使用Jpcap之前,需要先下载和安装Jpcap库。 首先,我们需要创建一个能够读取pcap文件的Capture对象。代码如下: `Capture capture = new Capture();` 然后,我们需要设置Capture对象的文件路径,指定pcap文件所在的位置。代码如下: `capture.openFile("filepath.pcap");` 接下来,我们可以通过循环遍历Capture对象的包,获取每个包的五元组信息。代码如下: ``` while(capture.getNextPacket() != null){ byte[] packet = capture.getPacket(); //解析五元组信息 //...代码 } ``` 在循环内部,我们可以利用Jpcap库提供的方法来解析包的五元组信息。五元组信息包括源IP地址、目标IP地址、源端口号、目标端口号和传输协议。具体解析方法如下: ``` Packet packet = new Packet(packet, Packet.PROTOCOL_IP); if (packet instanceof IPPacket) { IPPacket ipPacket = (IPPacket) packet; String sourceIP = ipPacket.getSourceAddress(); String destinationIP = ipPacket.getDestinationAddress(); int sourcePort = 0; int destinationPort = 0; if (packet instanceof TCPPacket) { TCPPacket tcpPacket = (TCPPacket) packet; sourcePort = tcpPacket.getSourcePort(); destinationPort = tcpPacket.getDestinationPort(); } else if (packet instanceof UDPPacket) { UDPPacket udpPacket = (UDPPacket) packet; sourcePort = udpPacket.getSourcePort(); destinationPort = udpPacket.getDestinationPort(); } String transportProtocol = ipPacket.protocolDescription; //打印五元组信息 System.out.println("源IP地址:" + sourceIP + ",目标IP地址:" + destinationIP + ",源端口号:" + sourcePort + ",目标端口号:" + destinationPort + ",传输协议:" + transportProtocol); } ``` 通过以上代码,我们可以获取pcap文件中每个包的五元组信息,并打印出来。 最后,记得在程序结束后关闭Capture对象,释放资源。代码如下: `capture.close();` 以上是Java解析pcap文件五元组信息的基本步骤和代码实现。通过利用Jpcap库,我们可以方便地获取pcap文件中的五元组信息,进行进一步的网络分析和处理。 ### 回答2: PCAP文件是一种常用的网络数据捕获文件格式,它可以用来存储网络数据包。在网络分析和安全领域中,解析PCAP文件的五元组信息非常重要。 五元组信息指的是TCP/IP协议栈中的五个重要参数,即源IP地址、目的IP地址、源端口号、目的端口号和协议类型。解析PCAP文件的五元组信息可以帮助我们分析网络通信的源和目的,识别网络中的主机和服务等。 对于Java程序来说,解析PCAP文件的五元组信息可以通过使用相关的库和API实现。以下是一个简单的示例代码,展示了如何使用开源库jpcap解析PCAP文件中的五元组信息: ```java import jpcap.*; import jpcap.packet.*; public class PCAPParser { public static void main(String[] args) throws Exception { // 打开PCAP文件 NetworkInterface[] devices = JpcapCaptor.getDeviceList(); JpcapCaptor captor = JpcapCaptor.openFile("filename.pcap"); // 逐个解析数据包 while (true) { Packet packet = captor.getPacket(); if (packet == null) break; // 获取五元组信息 if (packet instanceof IPPacket) { IPPacket ipPacket = (IPPacket) packet; String sourceIP = ipPacket.src_ip.getHostAddress(); String destinationIP = ipPacket.dst_ip.getHostAddress(); int sourcePort = 0; int destinationPort = 0; if (ipPacket instanceof TCPPacket) { TCPPacket tcpPacket = (TCPPacket) ipPacket; sourcePort = tcpPacket.src_port; destinationPort = tcpPacket.dst_port; } else if (ipPacket instanceof UDPPacket) { UDPPacket udpPacket = (UDPPacket) ipPacket; sourcePort = udpPacket.src_port; destinationPort = udpPacket.dst_port; } String protocol = ipPacket.protocolDescription; // 输出五元组信息 System.out.println("Source IP: " + sourceIP); System.out.println("Destination IP: " + destinationIP); System.out.println("Source Port: " + sourcePort); System.out.println("Destination Port: " + destinationPort); System.out.println("Protocol: " + protocol); System.out.println("--------------------------"); } } // 关闭PCAP文件 captor.close(); } } ``` 以上代码使用jpcap读取解析PCAP文件中的数据包。通过遍历数据包,我们使用IPPacket类获取源IP地址、目的IP地址和协议类型。之后,根据具体的协议类型,我们使用TCPPacket或UDPPacket类获取源端口号和目的端口号。 最后,输出五元组信息供进一步的分析和使用。这样,我们就可以使用Java解析PCAP文件中的五元组信息了。当然,解析PCAP文件还涉及到其他的一些操作,比如过滤、统计等,可以根据具体需求进行扩展和处理。 ### 回答3: Java解析pcap文件五元组信息的过程如下: pcap文件是一种网络数据包捕获文件格式,它记录了在计算机网络中传输的数据包的原始内容和元数据。五元组是识别网络数据流的关键信息,包括源IP地址、目标IP地址、源端口号、目标端口号和传输协议。 1. 打开pcap文件:使用Java文件操作类库打开pcap文件,并读取其中的数据包内容和元数据。 2. 解析数据包:遍历pcap文件中的数据包,使用Java的网络协议解析库对每个数据包进行解析。这个过程中可以获取到数据包的源IP地址、目标IP地址、源端口号、目标端口号和传输协议。 3. 保存五元组信息:将每个数据包中解析得到的五元组信息存储在一个数据结构中,比如使用Java的列表或映射等。 4. 分析五元组信息:对保存的五元组信息进行分析,可以统计每个五元组出现的次数,找出频率最高的五元组,或者进行其他复杂的网络分析。 通过以上步骤,使用Java可以很方便地解析pcap文件中的五元组信息。这些信息对于网络安全研究、网络流量监控和网络性能优化等领域都非常重要。
评论 12
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值