libpcap/tcpdump—4—文件结构

最新推荐文章于 2023-01-12 16:43:58 发布
最新推荐文章于 2023-01-12 16:43:58 发布
阅读量209 收藏
点赞数
分类专栏: tcpdump linux 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/langqunxianfeng/article/details/102979772
版权
linux 同时被 3 个专栏收录
35 篇文章 2 订阅
订阅专栏
网络
16 篇文章 0 订阅
订阅专栏
tcpdump
6 篇文章 1 订阅
订阅专栏

抓包的输出虽然可以在终端上显示,但使用-w选项写一个文件用wireshark打开分析才是最常用的方法。这篇文章讲解写出的文件结构,暂不介绍函数调用关系。

The pcap file has the following format:
	+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
	|  file header  |  package 1  |  package 2  |  package 3 |  ... ... |
	+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

上图是文件总格式,文件开头是 file header, 后面是一个接一个的数据包(本文用 package 表示)。

file header

The file header has the following format:
	0                   1                   2                   3
	0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
	+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
	|                             magic                             |
	+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
	|         major version         |        minor version          |
	+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
	|                            thiszone                           |
	+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
	|                             igfigs                            |
	+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
	|                          snap length                          |
	+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
	|                           link type                           |
	+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

上图是 file header 的格式,共32字节,由 sf_write_header() 接口写入,在 pcap.h 中定义,结构如下。

struct pcap_file_header {
	bpf_u_int32 magic;
	u_short version_major;
	u_short version_minor;
	bpf_int32 thiszone;	/* gmt to local correction */
	bpf_u_int32 sigfigs;	/* accuracy of timestamps */
	bpf_u_int32 snaplen;	/* max length saved portion of each pkt */
	bpf_u_int32 linktype;	/* data link type (LINKTYPE_*) */
};

package X

The package X has the following format:
	0                   1                   2                   3
	0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
	+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
	|                            Seconds                            |
	+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
	|                          Microseconds                         |
	+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
	|                             caplen                            |
	+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
	|                              len                              |
	+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
	|                             data                              |
	+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

上图是 package X 的格式,由16个字节的 package header 和数据 data 组成,sf-pcap.c 中的pcap_dump()写入。struct pcap_sf_pkthdr package header 在 pcap-int.h 中定义。在 pcap.h 中也有一个类似的定义 struct pcap_pkthdr。结构如下。

struct pcap_sf_pkthdr {
    struct pcap_timeval ts;	/* time stamp */
    bpf_u_int32 caplen;		/* length of portion present */
    bpf_u_int32 len;		/* length this packet (off wire) */
};

struct pcap_timeval {
    bpf_int32 tv_sec;		/* seconds */
    bpf_int32 tv_usec;		/* microseconds */
};

举例

上图是 tcpdump 记录的文件头,所有的成员已经标清。其中从 E8 6A 64 9B ...... 开始就是 Ethernet 数据(我抓的是tcp/ipd的包),下图是wireshark打开的显示情况,对比即可了解,这里不再赘述。

结语

还在学习阶段,很多地方不甚了解,每个成员的具体含义没有介绍,结构体很多的变形也没有介绍...... 下一篇准备写 package X 的由来,感觉应该是 libtcap/tcpdump 的核心。年初转正答辩的时候和领导谈话,今年的两个目标:内核 网络。内核没有什么进展,这个网络总算是有所交代了。                                  

狼群一一先锋
关注
专栏目录
Linux笔记 No.24---(curl、ip、nmcli、网卡/主机名/DNS配置文件、常见网络问题诊断、网络诊断工具:ping/nmap/tcpdump)
weixin_45880055的博客
11-24 1719
curl 在Linux中curl是一个利用URL规则在命令行下工作的文件传输工具,可以说是一款很强大的http命令行工具。它支持文件的上传和下载,是综合传输工具,但按传统,习惯称url为下载工具 curl是一种命令行工具,作用是发出网络请求,然后得到和提取数据,在"标准输出"(stdout)上显示。它支持多种协议 查看网站源码 直接在curl命令后加上网址,就可以看到网页源码 curl URL 如果要把这个网页保存下来,可以使用-o参数 curl -o [文件名] URL 自动跳转 有的网址是自
Tcpdump实现机制
qq_33451807的博客
11-02 765
Linux作为网络服务器,特别是作为路由器和网关时,数据的采集和分析是不可少的。TcpDump是Linux中强大的网络数据采集分析工具之一。Tcpdump由两部分组成,主要分为应用层交互的tcpdump与内核交互的libpcap两部分,tcpdump主要用于实现基于五元素的过滤报文,分析报文类型做对应输出格式转变与将报文存储到相应存储文件的功能,libpcap主要用于获取网络设备,创建套接字使用Netlink通信机制与内核通信获取报文。
pcap文件分析
weixin_50311553的博客
01-12 8628
pcap文件格式的解析
C语言写PCAP文件
wk910921的博客
03-08 4517
0背景介绍 对于做网络的工程师,pcap文件是经常接触的,通常抓包之后保存的报文即使pcap文件,用来分析定位问题是非常方便的。这篇文章介绍下pcap文件格式、报文格式以及如何将一个报文写入到pcap文件的c语言实现。 pcap文件简介 Pcap文件是最常用的数据报文存储格式,可以理解为一种文件格式。Pcap文件用记事本打开会显示乱码,对于pcap文件有特定的打开工具,例如最常用的wireshark软件,可以用wireshark打开来分析一个pcap文件的内容。 对于一个做网络相关开发的工程师,会分.
FFM不能封装flv的问题和替代方案SFF
deyangliu的专栏
10-08 4878
ffmpeg -i ~/video/ZhangMaoZhen/AVSEQ04.DAT -vf thumbnail -frames:v 1 xx.png 一定要解码? 编码参数变化 --》修改pps/sps. 带宽,码率。 多播 setsockopt(IP_ADD_MEMBERSHIP): No such device route add -net 224.0.0.
tcpdump(四)保存、回放、流量
清风扬
04-10 4992
流量保存与回放 做过网络流量分析的朋友,或许都有一个共同的需求,那就是都要做"流量保存"和"流量回放"。 流量保存:把抓到的网络包存储到磁盘上,保存下来,为以后使用。 流量回放:把历史上的某一时刻段的流量,重新模拟回放出来,用于流量分析。 -w 选项:将流量保存到文件中 [root@test ~]# tcpdump -i ens39 -w tcp.txt tcpdump: list...
Ubuntu20.04安装Qt5.9.9+Qt creator并编译Qt库,解决SIOCGSTAMP was not declared
liangjian990709的博客
12-21 6729
Ubuntu20.04安装Qt5.9.9+Qt creator官网下载Qt4.99版本安装包进入安装界面选择插件打开终端设置环境变量 官网下载Qt4.99版本安装包 链接. 进入安装界面 一直点击下一步直到选择插件 选择插件 安装直至安装完毕 打开终端 输入命令 sudo gedit /usr/bin/qtcreator 插入以下内容并保存退出 #!/bin/sh export QT_HOME=/home/liangjian/Qt5.9.9/Tools/QtCreator/bin $QT_HOME/q
tcpdump离线安装包bison,flex,libpcap,tcpdump
06-30
4. 配置tcpdump,可能需要根据你的系统需求调整一些选项,例如指定安装路径。 5. 完成安装后,你可以通过命令行运行tcpdump,开始捕获和分析网络数据包。 使用tcpdump时,可以指定各种参数来过滤和控制数据包的捕获...
任务:HTTP协议分析和网页还原 目标:编写一个程序,能够捕获传入的数据包,并使用捕获的数据还原选择的测试网页。 步骤: |——捕获数据包 |——重构HTTP消息 |——使用捕获的数据还原网页 要求: 使用libpcap或winpcap进行编程,选择的测试网页必须包含图像元素 提交内容:应提交以下文件: .src/(源代码) .bin/(可执行文件) 注意事项: 只能使用C或C++进行编码 不能使用任何自动化软件,如httpwatch、httpanalyzerstdv、浏览器内置工具、wireshark、MiniSniffer、WSExplorer。 只能使用libcap或wincap库 关于libpcap/winpcaplibpcap是一个用于在Unix/Linux平台下捕获实时网络数据的C库。 许多著名的网络工具都基于libpcap,如Wireshark/Tcpdump、Snort等。 Winpcaplibpcap的Windows版本。 http://www.tcpdump.org/ http://www.winpcap.org/ https://nmap.org/npcap/
最新发布
06-08
很抱歉,作为AI语言模型,我没有权限编写计算机程序,但我可以告诉你如何使用libpcap或winpcap进行编程。 首先,你需要了解如何使用libpcap或winpcap库捕获网络数据包。这些库提供了一组API,使得你能够在程序中...
tcpdump源码分享
04-21
5. **实时与离线分析**:tcpdump不仅可以实时捕获数据包,还能读取已保存的pcap文件进行离线分析。源码中涉及了如何处理这两种情况的代码逻辑。 6. **性能优化**:为了处理高流量网络,tcpdump需要进行高效的内存...
pcap文件格式及写pcap文件
KgdYsg的博客
05-13 3293
一、pcap文件格式(该部分引用网络资料) pcap文件格式及文件解析 第一部分:PCAP文件格式 (一)、基本格式: 文件头 数据包头 数据报 数据包头 数据报… (二)、文件头: 文件结构体,libpcap源码中定义如下 struct pcap_file_header { bpf_u_int32 magic; u_short version_majo...
Linux的网络编程
edisonlg的专栏
01-02 1886
对于多字节数据在内存中有两种存储方式: Little-endian:低字节在前,高字节在后; Big-endian:高字节在前,低字节在后 网络协议在处理多字节整数时,采用的是高端字节序,在编程时一定要考虑主机字节顺序与网络字节顺序的相互转换。 1      socket定义 socket是一种文件描述符。常用的socket类型有两种:流式socket(SOCK_STREAM)和数据报式
qt Linux arm 交叉编译
yinheshenhua的专栏
11-07 1273
1.操作系统ubuntu1~20.04 2. qt5.9.9Index of /archive/qt/5.9/5.9.9 下载qt源码(qt-everywhere-opensource-src-5.9.9.tar.xz)和程序(qt-opensource-linux-x64-5.9.9.run) 3.下载arm交叉编译工具链 下载首页:Builds & Downloads - Linaro Linaro Snapshots 4.安装pyt...
Linux——ioctl
I am firo,I am here for you.
01-03 3522
<br /> <br />缅怀Stevens大师。最好的参考资料:<br />1.师从互联网。<br />2.UNP v1第17章。<br />3.Linux man 命令:ioctl和ioctl_list。第一条:ioctl概述<br />ioctl函数的功能是管理底层特殊文件设备的参数。ioctl函数的部分功能可由一些POSIX的库函数替代,部分功能和fcntl重合!另外参见这里:http://vic295.blog.163.com/blog/static/74033530200991974322689
libpcap库函数介绍(附源代码)
热门推荐
IT老兵
09-04 2万+
libpcap的英文意思是 Packet Capture library,即数据包捕获函数库。该库提供的C函数接口可用于需要捕获经过网络接口(只要经过该接口,目标地址不一定为本机)数据包的系统开发上。由 Berkeley大学Lawrence Berkeley National Laboratory研究院的Van Jacobson、Craig Leres和Steven McCanne编写。该函数库支
pcap文件
yyfaith的博客
06-05 1017
pcap文件格式:基本格式:文件头:数据包头,数据报:数据包头,数据报tcpdump和wireshark捕获网络数据落地的文件都是pcap文件格式。pcap文件结构体:文件结构体,libpcap源码中定义如下 struct pcap_file_header {        bpf_u_int32 magic;        u_short version_major;        u_s...
服务器过载保护(上篇)——过载介绍
wetest_tencent的博客
04-21 8364
过载的定义看似简单,但却是处理过载问题的关键。
tcpdump连续抓包脚本(可以自动将dump分开存储)
weixin_30897079的博客
03-03 993
tcpdump是Linux下最常用的抓包工具了。不过往往抓着抓着就忘了时间,导致整个dump文件有几GB大,根本无法用软件分析。当然可以用工具分割dump文件,不过那又要耗一番功付。 tcpdump自带的-C参数是可以抓到一定数据包后停止抓包,不过怎么用怎么不顺手,于是自己写了个抓包脚本。Shell用的不熟,只能写个最简单的。 原理是外面套一个循环,利用自带的-C参数,将一定数量数据包存成一个...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值