【C语言】Linux平台下解析pcap文件

已于 2023-10-09 11:45:10 修改
阅读量722 收藏
点赞数
文章标签: c语言 wireshark 网络安全 网络协议
于 2023-10-09 11:36:41 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ap114/article/details/133697722
版权

开发环境是readhat、ubuntu、kali

在wireshark上抓包需要使用 Wireshark/tcpdump/ 且 文件后缀名为.pcap 方式保存

效果如下:

引入俩文件如下。

my_pcap.h
#pragma once
#include <netinet/in.h>

#define PCAP_MAGIC 0xa1b2c3d4

typedef struct pcap_file_header
{
    uint32_t magic;       /* 0xa1b2c3d4 */
    uint16_t version_major;   /* magjor Version 2 */
    uint16_t version_minor;   /* magjor Version 4 */
    uint32_t thiszone;      /* gmt to local correction */
    uint32_t sigfigs;     /* accuracy of timestamps */
    uint32_t snaplen;     /* max length saved portion of each pkt */
    uint32_t linktype;    /* data link type (LINKTYPE_*) */
}* PPCAP_HEADER;
#define PCAP_FILE_HEADER_LEN sizeof(struct pcap_file_header)

typedef struct pcap_pkthdr
{
    uint32_t ts_sec;
    uint32_t ts_usec;
    uint32_t caplen; /* length of portion present */
    uint32_t len;    /* length this packet (off wire) */
}* PPCAP_PK_HEADER;
#define PCAP_PK_LEN sizeof(struct pcap_pkthdr)

typedef struct pcap_each
{
    int pcap_len;
    int pos;
    char* pcap_data;
}* PPCAP_EACH;


PPCAP_EACH create_pcap_each(char* data, int data_len);
int check_pcap(char* data,int data_len);
PPCAP_PK_HEADER get_first_pkg(PPCAP_EACH pcap_each);
PPCAP_PK_HEADER next_pkg(PPCAP_EACH pcap_each);
char* get_pkg_data(PPCAP_PK_HEADER pcap_pk_hdr, int* out_len);

my_pcap.c
#include "my_pcap.h"
#include <stdlib.h>

int check_pcap(char* data,int data_len){
    PPCAP_HEADER pcap_hdr = (PPCAP_HEADER)data; 
    if(pcap_hdr->magic == PCAP_MAGIC){
        return 1;
    }
    return 0;
}

PPCAP_EACH create_pcap_each(char* data, int data_len){
    PPCAP_EACH pe = malloc(sizeof(struct pcap_each));
    pe->pos = 0;
    pe->pcap_data = data;
    pe->pcap_len = data_len;
    return pe;
}

PPCAP_PK_HEADER get_first_pkg(PPCAP_EACH pcap_each){
    pcap_each->pos = PCAP_FILE_HEADER_LEN;
    return (PPCAP_PK_HEADER)(pcap_each->pcap_data + pcap_each->pos);
}

PPCAP_PK_HEADER next_pkg(PPCAP_EACH pcap_each){
    PPCAP_PK_HEADER now_pkg = (PPCAP_PK_HEADER)(pcap_each->pcap_data + pcap_each->pos);
    pcap_each->pos += PCAP_PK_LEN + now_pkg->caplen;
    if(pcap_each->pos >= pcap_each->pcap_len){
        return 0;
    }
    PPCAP_PK_HEADER next_pkg = (PPCAP_PK_HEADER)(pcap_each->pcap_data + pcap_each->pos);
    return next_pkg;
}

char* get_pkg_data(PPCAP_PK_HEADER pcap_pk_hdr, int* out_len){
    *out_len = pcap_pk_hdr->caplen;
    return ((char*)pcap_pk_hdr + PCAP_PK_LEN);
}

然后进行测试,测试代码如下:

int buffer_len = 0;
char* buffer = read_file("/home/kali/Desktop/pcap/your_pack.pcap", &buffer_len);
if(check_pcap(buffer, buffer_len) == 0){
	printf("file not is pcap file \n");
	return;
}
PPCAP_EACH peach = create_pcap_each(buffer, buffer_len);
PPCAP_PK_HEADER pkg = get_first_pkg(peach);
int data_len = 0;
char* data = 0;
for(;pkg != 0; pkg = next_pkg(peach)){
	data = get_pkg_data(pkg, &data_len);
	printf("data_len:%d \n", data_len);
	hexDump(data, data_len);
}
free(peach);
free(buffer);

其中的read_file方法和hexDump方法是需要自己写的。

#include <stdio.h>
#include <stdlib.h>
#include <sys/types.h>
#include <sys/stat.h>
#include <fcntl.h>
#include <unistd.h>
#include <string.h>

char* read_file(char* path,int* out_len){
    int fd = open(path, O_RDONLY);
    struct stat st;
    stat(path, &st);
    *out_len = st.st_size;
    char* buffer = (char*)malloc(st.st_size);
    read(fd, buffer, st.st_size);
    close(fd);
    return buffer;
}


#include <stdio.h>
#include <stdlib.h>
#include <string.h>

void hexDump(void* _buf, int len)
{
    if(len > 99999){
        printf("show len:%d >300 Byte. do not show. \n",len);
        return;
    }
    char* buf = (char*)_buf;
	if (len < 1 || buf == (void*)0) return;
	const char *hexChars = "0123456789ABCDEF";
	int i = 0;
	char c = 0x00;
	char str_print_able[17];
	char str_hex_buffer[16 * 3 + 1];
	for (i = 0; i < (len / 16) * 16; i += 16)
	{
		int j = 0;
		for (j = 0; j < 16; j++)
		{
			c = buf[i + j];
			// hex
			int z = j * 3;
			str_hex_buffer[z++] = hexChars[(c >> 4) & 0x0F];
			str_hex_buffer[z++] = hexChars[c & 0x0F];
			str_hex_buffer[z++] = (j < 10 && !((j + 1) % 8)) ? '_' : ' ';
			// string with space repalced
			if (c < 32 || c == '\0' || c == '\t' || c == '\r' || c == '\n' || c == '\b')
				str_print_able[j] = '.';
			else
				str_print_able[j] = c;
		}
		str_hex_buffer[16 * 3] = 0x00;
		str_print_able[j] = 0x00;
		printf("%04x  %s %s\n", i, str_hex_buffer, str_print_able);
	}
	int leftSize = len % 16;
	if (leftSize < 1) return;
	int j = 0;
	int pos = i;
	for (; i < len; i++)
	{
		c = buf[i];
		// hex
		int z = j * 3;
		str_hex_buffer[z++] = hexChars[(c >> 4) & 0x0F];
		str_hex_buffer[z++] = hexChars[c & 0x0F];
		str_hex_buffer[z++] = ' ';
		// string with space repalced
		if (c < 32 || c == '\0' || c == '\t' || c == '\r' || c == '\n' || c == '\b')
			str_print_able[j] = '.';
		else
			str_print_able[j] = c;
		j++;

	}
	str_hex_buffer[leftSize * 3] = 0x00;
	str_print_able[j] = 0x00;
	for (j = leftSize; j < 16; j++)
	{
		int z = j * 3;
		str_hex_buffer[z++] = ' ';
		str_hex_buffer[z++] = ' ';
		str_hex_buffer[z++] = ' ';
	}
	str_hex_buffer[16 * 3] = 0x00;
	printf("%04x  %s %s\n", pos, str_hex_buffer, str_print_able);
}

你采不起的野花
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
linux分析cap文件,cap数据包文件解析
weixin_39978282的博客
04-30 1568
windows下的wiresharkLinux下的tcpdump所抓的包为同样的CAP文件的格式,sniffer软件所抓的包文件扩展名也是.cap,但格式却不太一样。本文主要说明ethereal和tcpdump抓包产生的.cap文件的格式。其实,要获得PCAP文件的格式,除了直接打开.cap文件来分析外,可以看WinPcap包或Linux下/usr/include下的pcap.h头文件pcap...
C语言分析pcap文件
04-15
本文档是C语言编写,基于linux下对pcap格式文件的分析,希望能够提供帮助。
利用Python库Scapy解析pcap文件的方法
09-19
今天小编就为大家分享一篇利用Python库Scapy解析pcap文件的方法,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
pcapfix: 修复损坏的PCAP文件并恢复网络流量数据
最新发布
gitblog_00096的博客
03-16 824
pcapfix: 修复损坏的PCAP文件并恢复网络流量数据 在网络安全分析、网络性能监控和网络取证等领域中,PCAP(Packet Capture)文件扮演着至关重要的角色。它们捕获了网络中的原始数据包,并允许我们在事后进行详细分析。然而,有时这些宝贵的PCAP文件可能会受到损坏,导致无法读取或分析其内容。为了解决这个问题,我们向您推荐一个实用工具——pcapfix。 什么是pcapfix? p...
gopcap:为人类解析 .pcap 文件
07-14
盖帽 gopcap 是的纯 Go 实现。 Pcap 是标准的开源数据包捕获格式,由 C 库定义。 例子 gopcap API 非常简单: pcapfile, _ := os.Open("file.cap") parsed, err := gopcap.Parse(pcapfile) 有关更多示例,请参阅 API 文档。 特征 完全同步的 API,很容易实现异步。 有效利用内存。 没有外部依赖。 贡献 gopcap 欢迎贡献,包括错误修复和新功能(尽管新功能的机会显然相当有限!)。 任何功能请求都应认真考虑对 API 的影响。 API 的清晰度高于新功能,因此任何使 API 复杂化的功能都必须为库增加重要的价值才能被接受。 如果您想做出贡献,请执行以下操作: 通过在 GitHub 上检查未解决和已关闭的问题,检查您的想法是否尚未被提出。 从 GitHub 分叉存储库并进行更改。
java抓包后对pcap文件解析示例
09-04
主要介绍了java抓包后对pcap文件解析示例,需要的朋友可以参考下
linuxpcap文件解析文件,在linux下操作pcap文件的各種方法整理
weixin_29605669的博客
04-28 618
Editcap 與 MergecapWireshark,是最受歡迎的 GUI 嗅探工具,實際上它帶了一套非常有用的命令行工具集。其中包括 editcap 與 mergecap。editcap 是一個萬能的 pcap 編輯器,它可以過濾並且能以多種方式來分割 pcap 文件。mergecap 可以將多個 pcap 文件合並為一個。 這篇文章就是基於這些 Wireshark 命令行工具的。如果你已經安...
pcap文件分析
weixin_50311553的博客
01-12 7292
pcap文件格式的解析
解析pcap文件,逐步认识tcp/ip协议栈
保持敏锐,保持进化。
07-10 4415
通过解析pcap初步认识协议栈
Pcap文件详解
辞树
11-29 1万+
pcap文件是常用的数据报存储格式,可以理解为就是一种文件格式,只不过里面的数据是按照特定格式存储的,所以我们想要解析里面的数据,也必须按照一定的格式。普通的记事本打开pcap文件显示的是,用安装了HEX-Editor插件的Notepad++打开,能够以16进制数据的格式显示,或者使用sublime打开以十六进制的格式显示。用wireshark这种抓包工具就可以正常打开这种文件,愉快地查看里面的网络数据报了,同时wireshark也可以生成这种格式的文件。还有一些其他网络分析工具。
网络数据采集分析工具tcpdump定义抓包过滤器
Peter的博客
06-30 1454
第三节到第六节里的 tcpdump 命令示例,只为了说明参数的使用,并不一定就能抓到包,如果要精准抓到你所需要的包,需要配合第五节的逻辑逻辑运算符进行组合搭配。 不同 Linux 发行版下、不同版本的 tcpdump 可能有小许差异, 本文是基于 CentOS 7.2 的 4.5.1 版本的tcpdump 进行学习的,若在你的环境中无法使用,请参考man tcpdump进行针对性学习。 1. tcpdump 核心参数图解 大家都知道,网络上的流量、数据包,非常的多,因此要想抓到我们所...
Linux命令查看pcap包报文数量、包体包含内容、包长
captain
11-08 1273
查看pcap文件中的包数量,可以使用网络分析工具,如Wireshark或Tcpdump,或者使用编程语言中的网络分析库,如Python中的Scapy或Sniffy。
linux pcap 报文 解析 报头剥离
04-30
pcapedit 和 配置文件放到用一路径下,处理处的结果文件保存在当前路径。 [root@localhost cll]# ./pcapedit Input the pcap file name:3g_ctrl_data.pcap //符合帧格式的pcap文件处理结果 starting parse pcap ...
linux查看cap文件,如何使用tcpdump在Mac OS X上读取.cap数据包捕获文件 | MOS86
weixin_36066355的博客
04-29 3662
还可以执行数据包跟踪或嗅探和捕获来自网络的数据包,结果通常是创建一个。上限捕获文件。那个无论您使用何种嗅探网络,网络管理员和安全性专业人士中相当常见的任务,都会创建cap,pcap或wcap数据包捕获文件。也许最简单的打开,阅读和解读的方法。cap文件在Mac或Linux机器上使用内置的tcpdump实用程序。假设您已经捕获了网络连接的数据包跟踪,并使用a创建了捕获的数据包文件。帽,。pcap或。...
linux下capabilities基础操作
好好睡觉
12-12 1885
capabilities基础操作
如何读取pcap
m0_57236802的博客
11-01 2267
读取PCAP(Packet Capture)文件可以使用多种工具和编程库。
Linux下如何过滤、分割以及合并 pcap 文件
weixin_34319999的博客
04-08 1375
如果你是一个测试***侦测系统或一些网络访问控制策略的网络管理员,那么你经常需要抓取数据包并在离线状态下分析这些文件。当需要保存捕获的数据包时,我们一般会存储为 libpcap 的数据包格式 pcap,这是一种被许多开源的嗅探工具以及捕包程序广泛使用的格式。如果 pcap 文件被用于***测试或离线分析的话,那么在将他们注入网络之前通常要先对 pcap 文件进行一些操作。在这...
pcap详解
10-01 6313
pcap格式及API详解
Pcap 数据包捕获格式详解
热门推荐
人人都懂物联网
05-24 1万+
Pcap 是 Packet Capture 的英文缩写,是一种行业标准的网络数据包捕获格式。如果你是网络开发人员,那么通常会使用 Wireshark、Tcpdump 或 WinDump 等网络分析器捕获 TCP/IP 数据包,而抓包后存盘的文件格式就是 .pcap 文件文件格式 Pcap 文件格式是一种二进制格式,支持纳秒级精度的时间戳。虽然这种格式在不同的实现中有所不同,但是所有的 pcap 文件都具有如下图所示的一般结构。 全局报头 全局报头(Global Header)包含魔数(Magic nu
c语言调用tshark 解析pcap文件
05-30
要在C语言中调用tshark解析pcap文件,你可以使用以下步骤: 1. 使用C语言中的系统调用函数system()来执行tshark命令行。 2. 在tshark命令行中使用选项-r来指定要解析pcap文件路径。 3. 使用选项-T来指定输出格式,例如使用json输出。 4. 将tshark输出的json数据解析C语言的数据结构。 以下是一个示例代码: ```c #include <stdio.h> #include <stdlib.h> int main() { char command[1000]; sprintf(command, "tshark -r file.pcap -T json"); // 执行tshark命令行 system(command); // 解析tshark输出的json数据为C语言的数据结构 // ... return 0; } ``` 需要注意的是,使用system()函数会导致程序阻塞,直到tshark命令行执行完毕。如果要避免阻塞,可以使用fork()和exec()函数来创建子进程执行tshark命令行。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值