pcap文件格式

最新推荐文章于 2023-01-12 16:43:58 发布
最新推荐文章于 2023-01-12 16:43:58 发布
阅读量2k 收藏 1
点赞数
分类专栏: C/C++ 文章标签: header network struct linux tts 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/LBY8203XJ/article/details/7432567
版权

Libpcap已经成为Linux,Unix平台上网络数据捕获的一个事实上的标准。所以,掌握Libpcap文件的格式也非常重要。这里用version2.4来说明(实际上,这个文件格式自从Libpcap的0.4版本,既是1998年来就没有改变过)。Libpcap文件用.pcap作为后缀。

image

从上图可以看出来,每个Libpcap文件都有一个全局的头(Global header),然后跟着是N(N>=0)个数据包组成的。每个数据包又分为包头(Packet Header)和包数据(Packet Data)部分。

1.Global Header

typedef struct pcap_hdr_s { guint32 magic_number; guint16 version_major; guint16 version_minor; gint32 thiszone; guint32 sigfigs; guint32 snaplen; guint32 network; } pcap_hdr_t;

这是Global Header的格式。

  • magic_number:用来识别文件自己和字节顺序。0xa1b2c3d4用来表示按照原来的顺序读取,0xd4c3b2a1表示下面的字节都要交换顺序读取。一般,我们使用0xa1b2c3d4
  • version_major, version_minor:Libpcap的版本
  • thiszone:时区。GMT和本地时间的相差,用秒来表示。如果本地的时区是GMT,那么这个值就设置为0.这个值一般也设置为0
  • sigfigs:精确的time stamps,实际上都设置为0
  • snaplen:该值设置所抓获的数据包的最大长度,如果所有数据包都要抓获,将该值设置为65535;例如:想获取数据包的前64字节,可将该值设置为64。
  • network:数据链路层类型。1是Ethernet,所以一般设置为1。

2.Packet Header

每个数据包都以一个Packet Header开始,下面是其结构:

typedef struct pcaprec_hdr_s { guint32 ts_sec; guint32 ts_usec; guint32 incl_len; guint32 orig_len; } pcaprec_hdr_t;
  • ts-sec:该数据包被捕获的时间(date and time),值是自从January 1, 1970 00:00:00 GMT以来的秒数来记。也就是linux time_t
  • ts_usec:数据包被捕获时候的微秒(microseconds)数,是自ts-sec的偏移量。
  • incl_len:数据包实际抓获并且保存在文件中的长度(用bytes计算)。这个值不能大于orig_lensnaplen
  • orig_len:数据包被捕获是,在网络上出现的长度(用bytes计算)。如果incl_lenorig_len不同,则说明实际抓包的大小被snaplen所限制。

例如,实际上有一个包长度是1500 bytes(orig_len=1500),但是因为在Global Header的snaplen=1300有限制,所以只能抓取这个包的前1300个字节,这个时候,incl_len = 1300

3.Packet Data

Packet Data紧跟着Packet Header,长度是incl_len,没有格式

 

原文链接:http://blog.sina.com.cn/s/blog_490cb0420100pal9.html

 

updoing
关注
专栏目录
报文格式-PCAP文件格式详解
村中少年的专栏
12-17 8492
分析pcap文件格式,在wireshark中显示了pcap文件头的一些信息
网络安全系列-二十五: PCAP文件格式详解及读取PCAP文件源码示例
penriver的博客
05-14 6131
Linux里,pcap是一种通用的数据流格式,是用于保存捕获的网络数据的一种非常基本的格式。 很多开源的项目都使用这种数据格式,如wireshark、tcpdump、scapy、snort 本文针对pcap文件格式进行详解,并提供读取pcap文件的源代码示例
pcap文件分析
最新发布
weixin_50311553的博客
01-12 8405
pcap文件格式的解析
pcap包结构&SNI字段的解析
weixin_39286923的博客
08-23 3735
pcap文件格式是常用的数据报存储格式,包括wireshark在内的主流抓包软件都可以生成这种格式的数据包。 文件格式Pcap文件头(24字节)+数据包头(wireshark增加的)+数据包(网络中抓取的)+…… 1.pcap文件头结构 各字段说明: Magic:4B:0×1A 2B 3C 4D:用来识别文件自己和字节顺序。0xa1b2c3d4用来表示按照...
pacp格式文件分析
有勇气的牛排博客
08-12 1301
网络通信过程中会发送大量的请求,每一个请求都需要通过IP数据包进行交互,但是IP数据包的头部信息过于复杂,如果通过IP数据包头进行数据包之间的区分就太复杂了,所以就产生了元组。五元组是元组中的一种,还有四元组、七元组。通过五元组可以表示所在的数据包属于哪一个会话。该头正在数据包查重和流量对比的时候使用较多。五元组的结构包括:IP源地址、源端口、目的IP地址、目标端口、4层通信协议。这里以nacp库中定义的结构为例// 文件开始标记 u_short version_major;...
WireShark抓包的pcap文件格式分析
vyCode
02-22 2万+
在拆包的过程中,我们必须要对WireShark截获的数据包的格式(即.pcap后缀的文件)有很清楚的了解,所以就把今天所学记录下来,以飨后来者。 一、结构体说明 pcap.h里定义了文件头的格式 struct pcap_file_header {         bpf_u_int32 magic;         u_short version_major;         u_
Pcap文件详解
Ds的博客
03-17 1万+
Pcap文件详解 一、简介 pcap文件是常用的数据报存储格式,可以理解为就是一种文件格式,只不过里面的数据是按照特定格式存储的,所以我们想要解析里面的数据,也必须按照一定的格式。 普通的记事本打开pcap文件显示的是乱码,用安装了HEX-Editor插件的Notepad++打开,能够以16进制数据的格式显示,或者使用sublime打开以十六进制的格式显示。用wireshark这种抓包工具就可以正常打开这种文件,愉快地查看里面的网络数据报了,同时wireshark也可以生成这种格式的文件。 还有一些其他网络
pcap文件格式.pdf
10-04
"PCAP文件格式详解" PCAP文件格式是一种通用的网络数据包捕获文件格式,广泛应用于网络协议分析、网络安全测试、网络故障诊断等领域。下面将对PCAP文件格式的各个组成部分进行详细解释。 PCAP文件头部(Pcap ...
Pcap 文件格式和WireShark
10-26
### PCAP 文件格式详解与 WireShark 使用指南 #### 一、PCAP 文件格式简介 PCAP(Packet Capture)是一种广泛使用的数据包捕获格式,主要用于网络监控和数据分析。许多网络安全工具都基于此格式进行数据捕获。...
pcap文件linux怎么打开,pcap文件格式 - 方恨少 - 博客园
weixin_29906279的博客
05-07 1753
前段时间因工作要求,需要对各种数据包进行分析和操作,内容涉及网路协议分析,socket,文件操作等。在此分享下学习和实践的经验。首先介绍下网络抓包、协议分析的必备软件Ethereal,新版(Wireshark)以下还以Ethereal代之,目前最新版本已经支持在无线局域网抓包了。Linux和Windows均有对应安装包,它们分别是gcc和VC++编译的。不过Windows下是基于Winpcap而L...
pcap报文格式和wireshak中的frame层
村中少年的专栏
05-12 4415
本文主要聊一聊pcap报文文件格式以及wireshark frame层的相关内容
pcap文件详解
热门推荐
天行健,君子以自强不息
04-27 10万+
一.简介 pcap文件是常用的数据报存储格式,可以理解为就是一种文件格式,只不过里面的数据是按照特定格式存储的,所以我们想要解析里面的数据,也必须按照一定的格式。普通的记事本打开pcap文件显示的是乱码,用安装了HEX-Editor插件的Notepad++打开,能够以16进制数据的格式显示,用wireshark这种抓包工具就可以正常打开这种文件,愉快地查看里面的网络数据报了,同时wiresh...
车载以太网测试数据保存文件格式 - .pcap 简介
思佳科技
02-18 2313
在车载以太网测试过程中,抓取以及分析车载以太网的通信是必不可少的一步,抓取通信后通常还需要对数据进行保存。这个保存的数据格式通常为.pcap格式; 使用这个.pcap格式的,除了专门的车载以太网测试软件外,还有专门的高速数据记录仪: 1, 车载以太网测试软件: 比如Technica Engineering的ANDi, 带有一个专门的抓包分析的工具- Traffic Viewer。由于ANDi...
c语言判断pcap文件结尾,PCAP文件扩展名 - 什么是.pcap以及如何打开? - ReviverSoft...
weixin_30270715的博客
05-26 425
你在这里因为你有,有一个文件扩展名结尾的​​文件.pcap.文件与文件扩展名.pcap只能通过特定的应用程序推出。这有可能是.pcap文件是数据文件,而不是文件或媒体,这意味着他们并不是在所有观看。什么是一&nbsp.pcap&nbsp文件?该.pcap文件扩展名主要使用Wireshark相关;用于分析网络的程序。 .pcap文件是使用程序创建的数据文件,并且它们包含的...
pcap文件格式及文件解析
JackyOps
09-19 3万+
第一部分:PCAP文件格式 一 基本格式:    文件头 数据包头数据报数据包头数据报...... 二、文件头:        文件头结构体  sturct pcap_file_header  {       DWORD           magic;       DWORD           version_major;       DWORD           ve
Libpcap文件格式
木凡的博客
08-06 977
Libpcap文件格式是TcpDump/WinDump、snort和其他网络工具使用的主要的捕获报文文件格式。Wireshark/TShark完全支持这种格式,但现在他们默认生成pcapng文件。 这个文件格式是非常基础的保存捕获网络数据的文件格式。随着libpcap库成为UN*X网络捕获的“事实上”的标准,它成为开放源代码世界网络捕获文件的“共同点”(似乎在商业网络捕获世界没有像“共同点”
pcap文件格式及写pcap文件
misslio的专栏
04-01 1万+
主题:pcap文件格式及写pcap文件   Pcap文件格式,这个网络上资料比较多,参考即可。   一、pcap文件格式(该部分引用网络资料) 原文网址:http://www.cnblogs.com/kernel0815/p/3803304.html 第一部分:PCAP文件格式 (一)、基本格式:    文件头 数据包头数据报数据包头数据报...... (二)、文件头: 文件
Ethereal的.pcap文件格式详解
"本文详细介绍了pacp格式,特别是其在Ethereal软件中默认使用的*.pcap文件格式。pacp文件头包含24个字节的字段,如Magic、Major、Minor、ThisZone、SigFigs、SnapLen和LinkType,分别用于标识文件开始、版本信息、...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值