pcap(cap)包文件解析

最新推荐文章于 2024-06-16 16:19:59 发布
最新推荐文章于 2024-06-16 16:19:59 发布
阅读量4w 收藏 92
点赞数 15
分类专栏: 网络

https://blog.csdn.net/m0_37710388/article/details/89217421

    pcap文件是常用的数据报存储格式,可以理解为就是一种文件格式,只不过里面的数据是按照特定格式存储的,所以我们想要解析里面的数据,也必须按照一定的格式。普通的记事本打开pcap文件显示的是乱码,用Ultra Edit能够以16进制数据的格式显示,用wireshark这种抓包工具就可以正常打开这种文件,愉快地查看里面的网络数据报了,同时wireshark也可以生成这种格式的文件。当然这些工具只是我经常使用的,还有很多其它能够查看pcap文件的工具。

.pcap/.cap文件结构如下:


1.Pcap Header

    文件头,每一个pcap文件只有一个文件头,总共占24(B)字节,以下是总共7个字段的含义。

Magic(4B): 标记文件开始,并用来识别文件和字节顺序。值可以为0xa1b2c3d4或者0xd4c3b2a1,如果是0xa1b2c3d4表示是大端模式,按照原来的顺序一个字节一个字节的读,如果是0xd4c3b2a1表示小端模式,下面的字节都要交换顺序。现在的电脑大部分是小端模式。

Major(2B): 当前文件的主要版本号,一般为0x0200

Minor(2B): 当前文件的次要版本号,一般为0x0400

ThisZone(4B): 当地的标准事件,如果用的是GMT则全零,一般全零

SigFigs(4B): 时间戳的精度,一般为全零

SnapLen(4B): 最大的存储长度,设置所抓获的数据包的最大长度,如果所有数据包都要抓获,将值设置为65535

LinkType(4B): 链路类型。解析数据包首先要判断它的LinkType,所以这个值很重要。一般的值为1,即以太网
常用的LinkType(链路类型):
值     类型描述
0     BSD loopback devices, except for later OpenBSD
1     Ethernet, and Linux loopback devices
6     802.5 Token Ring
7     ARCnet
8     SLIP
9     PPP
10     FDDI
100     LLC/SNAP-encapsulated ATM
101     “raw IP”, with no link
102     BSD/OS SLIP
103     BSD/OS PPP
104     Cisco HDLC
105     802.11
108     later OpenBSD loopback devices (with the AF_value in network byte order)
113     special Linux “cooked” capture
114     LocalTalk
2.Packet Header

数据包头可以有多个,每个数据包头后面都跟着真正的数据包。以下是Packet Header的4个字段含义

Timestamp(4B): 时间戳高位,精确到seconds,这是Unix时间戳。捕获数据包的时间一般是根据这个值
Timestamp(4B): 时间戳低位,能够精确到microseconds
Caplen(4B): 当前数据区的长度,即抓取到的数据帧长度,由此可以得到下一个数据帧的位置。
Len(4B): 离线数据长度,网路中实际数据帧的长度,一般不大于Caplen,多数情况下和Caplen值一样
3.Packet Data

Packet是链路层的数据帧,长度就是Packet Header中定义的Caplen值,所以每个Packet Header后面都跟着Caplen长度的Packet Data。也就是说pcap文件并没有规定捕获的数据帧之间有什么间隔字符串。Packet数据帧部分的格式就是标准的网络协议格式了。

eg:
下图为16进制pcap文件:

备注:
红色部分:Pcap Header
蓝色部分:Packet Header
PcapHeader

Magic(4B): D4 C3 B2 A1 表示小端模式,后面的字节从后往前读;
Major(2B): 02 00,计算机读的是00 02;
Minor(2B): 04 00,计算机读的是00 04;
ThisZone(4B): 00 00 00 00,全零;
SigFigs(4B): 00 00 00 00,全零;
SnapLen(4B): FF FF 00 00, 计算机读的是:00 00 FF FF,所以是2^16-1=65535
LinkType(4B): 01 00 00 00, 计算机读的是:00 00 00 01,表示是以太网类型
Packet Header

Timestamp(4B): CA 4D A4 5C,计算机读的是:5C A4 4D CA,十进制:1554271690,日期为:2019-04-03 14:08:10;
Timestamp(4B): 4F 2A 08 00,计算机读的是:00 08 2A 4F,十进制:535119,代表535119ms;
Caplen(4B): BA 1C 00 00, 计算机读的是:00 00 1C BA,十进制:7354,代表后面的7354个字节为一个数据帧,之后又是一个新的PacketHeader,如此循环;
Len(4B): BA 1C 00 00,和Caplen相同

wireshark打开.pcap文件:

buside
关注
  • 15
    点赞
  • 92
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
winpcap数据分析
continue my dream
04-04 1051
使用PCAP_OPENFLAG_PROMISCUOUS必须#define HAVE_REMOTE,否则编译报错。 pcap_open(d->name,65535,PCAP_OPENFLAG_PROMISCUOUS,1000,NULL,errorBuf) #define HAVE_REMOTE #include #include "pcap.h" #include #include
pcap文件解析
hola_f的博客
06-15 8607
看了很久终于搞清楚怎么解析pcap文件啦~以前的一个版本是我把pcap保存成.txt,删除冗余项,然后再依照格式读入,输出相应格式。后来,我发现其他同学都是用.pcap格式直接读入的,然后我就不懂了,直接读入的pcap文件格式应该是什么样子的?根据实战经验,应该就是网上各种教程解析的那种格式,根据那种格式按字节读入就可以啦!下面上代码: 这个是pcap.h 里面定义了pcap文件的主要结构体。
Pcap文件详解
辞树
11-29 1万+
pcap文件是常用的数据报存储格式,可以理解为就是一种文件格式,只不过里面的数据是按照特定格式存储的,所以我们想要解析里面的数据,也必须按照一定的格式。普通的记事本打开pcap文件显示的是,用安装了HEX-Editor插件的Notepad++打开,能够以16进制数据的格式显示,或者使用sublime打开以十六进制的格式显示。用wireshark这种抓工具就可以正常打开这种文件,愉快地查看里面的网络数据报了,同时wireshark也可以生成这种格式的文件。还有一些其他网络分析工具。
pcap文件理解
qq_54122067的博客
05-26 1249
Pcap文件中是二进制,使用winhex软件,打开是十六进制数,winhex是只有十六进制数,而wireshake自动将pcap中的数据按照时间顺序将分开并赋予一个No.标号(标号是时间顺序)。:32位,一个UNIX格式的精确到秒时间值,用来记录数据抓获的时间,记录方式是记录从格林尼治时间的1970年1月1日 00:00:00 到抓时经过的秒数;ttl: 占据一个字节(8位),表示生存时间(Time to Live),用于限制数据在网络中的生存时间,每经过一个路由器,TTL减1,直到为0时被丢弃。
Pyshark——安装、解析pcap文件
最新发布
计算机硕士的博客
06-16 606
Pyshark——安装、解析pcap文件
一款新兴的操作pcap的神器
01-07 1198
一 前言有会接触到这款软件,还是同事的一个图,图介绍了开源项目Zed和基于Zed做的一款全流量安全产品Brim。整个产品其实是不少开源项目的一个小集成,只所以感兴趣,除了brim在github有1.5k个star的原因外,更吸引我的是它使用了一种新的数据结构,超结构化的数据模型,通过这种结构可以集数据的压缩、索引、数据的分析于一体,而不用数据存储的各类数据库、NoSQL,简单方便。二 Zed和它...
pcap文件分析
weixin_50311553的博客
01-12 7900
pcap文件格式的解析
【Android测试工具】02. Android抓解析全过程
热门推荐
毕小烦的学习笔记
05-09 4万+
在android开发中,遇到socket编程,无法从log日志中查看到与之通讯的socket发送和返回的数据是什么,这里介绍一个工具,tcpdump工具和wireshark工具查看抓到的内容。 抓步骤 1. 下载TCPdump工具 下载地址:http://
pcap文件格式及文件解析
JackyOps
09-19 3万+
第一部分:PCAP文件格式 一 基本格式:    文件头 数据头数据报数据头数据报...... 二、文件头:        文件头结构体  sturct pcap_file_header  {       DWORD           magic;       DWORD           version_major;       DWORD           ve
python 抓保存为pcap文件解析的实例
09-19
Python在网络安全领域中被广泛用于数据的抓取和分析,本实例主要讲解如何使用Python的Scapy库来抓并保存为pcap文件,以及后续如何解析这些pcap文件。 首先,我们要导入必要的模块,括`os`用于文件操作,以及...
加密解密分析工具CAP
01-19
加密解密的分析工具,用于分析一些常见的加密算法。
利用WipCap捕获网络数据并分析数据,含源代码和工程文件,学习网络数据捕获分析以及WinPcap的好程序
03-15
利用WipCap捕获网络数据并分析数据,含源代码和工程文件,学习网络数据捕获分析以及WinPcap的好程序
WPA/CAP文件工具高速跑新版
06-11
WPA/CAP无线跑工具高速跑、选择字典和CAP文件然后点开始跑即可方便又简单小巧又实用速度超快,无广告无捆绑无毒软件绿色环保!
PCAP格式文件解析说明
03-12
详细介绍了PCAP格式以及说明格式内容,对PCAP格式的文件进行了详细的说明
c++实现对cap抓TCP、UDP文件解析
12-23
通过循环解析cap文件中每个的IP头的各部分含义、TCP/UDP头的含义。这些部分都储存在结构体中,如果需要统计,读者可自行编写统计规则。由于本程序是逐个按照头各字段分块解析,因此如果读者对解的性能要求...
gopcap:为人类解析 .pcap 文件
07-14
Pcap 是标准的开源数据捕获格式,由 C 库定义。 例子 gopcap API 非常简单: pcapfile, _ := os.Open("file.cap") parsed, err := gopcap.Parse(pcapfile) 有关更多示例,请参阅 API 文档。 特征 完全同步的 ...
解析pcap为wav文件工具
10-06
标题中的“解析pcap为wav文件工具”指的是一个能够处理网络抓文件pcap格式)并从中提取音频数据的程序。这类工具通常用于网络通信分析,特别是语音通信,如VoIP(Voice over Internet Protocol)服务。描述中...
pcap详解
10-01 6991
pcap格式及API详解
golang 解析pcap还原文件
06-10
要在 Golang 中解析 pcap 并还原文件,可以使用第三方库 `gopacket` 和 `pcap`。其中,`gopacket` 是一个用于解析和操作网络数据的库,而 `pcap` 则是一个用于读取和写入 pcap 格式文件的库。 以下是一个简单的示例代码: ```go package main import ( "fmt" "github.com/google/gopacket" "github.com/google/gopacket/layers" "github.com/google/gopacket/pcap" "os" ) func main() { // 打开 pcap 文件 handle, err := pcap.OpenOffline("test.pcap") if err != nil { fmt.Fprintf(os.Stderr, "Error opening pcap file: %s\n", err) os.Exit(1) } defer handle.Close() // 设置过滤器,只捕获 TCP 流量 filter := "tcp" err = handle.SetBPFFilter(filter) if err != nil { fmt.Fprintf(os.Stderr, "Error setting BPF filter: %s\n", err) os.Exit(1) } // 迭代 pcap 文件中的数据 packetSource := gopacket.NewPacketSource(handle, handle.LinkType()) for packet := range packetSource.Packets() { // 获取 TCP 层数据 tcpLayer := packet.Layer(layers.LayerTypeTCP) if tcpLayer == nil { continue } tcp, _ := tcpLayer.(*layers.TCP) // 获取 TCP 数据内容 payload := tcp.Payload // 将 TCP 数据内容写入文件 f, err := os.OpenFile("output", os.O_APPEND|os.O_CREATE|os.O_WRONLY, 0644) if err != nil { fmt.Fprintf(os.Stderr, "Error opening output file: %s\n", err) os.Exit(1) } defer f.Close() _, err = f.Write(payload) if err != nil { fmt.Fprintf(os.Stderr, "Error writing to output file: %s\n", err) os.Exit(1) } } } ``` 以上代码实现了读取 pcap 文件中的 TCP 数据,并将 TCP 数据内容写入到文件中。需要注意的是,由于 pcap 文件中的数据可能是经过压缩、加密等处理的,因此需要根据具体的情况对数据进行还原。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值