libpcap/tcpdump—4—文件结构

最新推荐文章于 2022-08-25 09:18:53 发布
最新推荐文章于 2022-08-25 09:18:53 发布
阅读量182 收藏
点赞数
分类专栏: tcpdump linux 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/langqunxianfeng/article/details/102979772
版权
linux 同时被 3 个专栏收录
35 篇文章 2 订阅
订阅专栏
网络
16 篇文章 0 订阅
订阅专栏
tcpdump
6 篇文章 1 订阅
订阅专栏

抓包的输出虽然可以在终端上显示,但使用-w选项写一个文件用wireshark打开分析才是最常用的方法。这篇文章讲解写出的文件结构,暂不介绍函数调用关系。

The pcap file has the following format:
	+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
	|  file header  |  package 1  |  package 2  |  package 3 |  ... ... |
	+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

上图是文件总格式,文件开头是 file header, 后面是一个接一个的数据包(本文用 package 表示)。

file header

The file header has the following format:
	0                   1                   2                   3
	0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
	+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
	|                             magic                             |
	+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
	|         major version         |        minor version          |
	+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
	|                            thiszone                           |
	+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
	|                             igfigs                            |
	+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
	|                          snap length                          |
	+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
	|                           link type                           |
	+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

上图是 file header 的格式,共32字节,由 sf_write_header() 接口写入,在 pcap.h 中定义,结构如下。

struct pcap_file_header {
	bpf_u_int32 magic;
	u_short version_major;
	u_short version_minor;
	bpf_int32 thiszone;	/* gmt to local correction */
	bpf_u_int32 sigfigs;	/* accuracy of timestamps */
	bpf_u_int32 snaplen;	/* max length saved portion of each pkt */
	bpf_u_int32 linktype;	/* data link type (LINKTYPE_*) */
};

package X

The package X has the following format:
	0                   1                   2                   3
	0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
	+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
	|                            Seconds                            |
	+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
	|                          Microseconds                         |
	+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
	|                             caplen                            |
	+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
	|                              len                              |
	+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
	|                             data                              |
	+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

上图是 package X 的格式,由16个字节的 package header 和数据 data 组成,sf-pcap.c 中的pcap_dump()写入。struct pcap_sf_pkthdr package header 在 pcap-int.h 中定义。在 pcap.h 中也有一个类似的定义 struct pcap_pkthdr。结构如下。

struct pcap_sf_pkthdr {
    struct pcap_timeval ts;	/* time stamp */
    bpf_u_int32 caplen;		/* length of portion present */
    bpf_u_int32 len;		/* length this packet (off wire) */
};

struct pcap_timeval {
    bpf_int32 tv_sec;		/* seconds */
    bpf_int32 tv_usec;		/* microseconds */
};

举例

上图是 tcpdump 记录的文件头,所有的成员已经标清。其中从 E8 6A 64 9B ...... 开始就是 Ethernet 数据(我抓的是tcp/ipd的包),下图是wireshark打开的显示情况,对比即可了解,这里不再赘述。

结语

还在学习阶段,很多地方不甚了解,每个成员的具体含义没有介绍,结构体很多的变形也没有介绍...... 下一篇准备写 package X 的由来,感觉应该是 libtcap/tcpdump 的核心。年初转正答辩的时候和领导谈话,今年的两个目标:内核 网络。内核没有什么进展,这个网络总算是有所交代了。                                  

狼群一一先锋
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
tcpdump源码(tcpdump-4.99.4.tar.gz)生成tcpdump
09-03
tcpdump源码编译,需要多个部件的源码进行顺序编译而成。 m4-1.4.19.tar.gz flex-2.6.4.tar.gz bison-3.7.6.tar.gz libpcap-1.10.4.tar.gz tcpdump-4.99.4.tar.gz tar xvf *.tar解压后,分别执行./configure 和make install(root执行),即可编译和安装好tcpdump
C语言写PCAP文件
wk910921的博客
03-08 4240
0背景介绍 对于做网络的工程师,pcap文件是经常接触的,通常抓包之后保存的报文即使pcap文件,用来分析定位问题是非常方便的。这篇文章介绍下pcap文件格式、报文格式以及如何将一个报文写入到pcap文件的c语言实现。 pcap文件简介 Pcap文件是最常用的数据报文存储格式,可以理解为一种文件格式。Pcap文件用记事本打开会显示乱码,对于pcap文件有特定的打开工具,例如最常用的wireshark软件,可以用wireshark打开来分析一个pcap文件的内容。 对于一个做网络相关开发的工程师,会分.
Ubuntu20.04安装Qt5.9.9+Qt creator并编译Qt库,解决SIOCGSTAMP was not declared
liangjian990709的博客
12-21 6236
Ubuntu20.04安装Qt5.9.9+Qt creator官网下载Qt4.99版本安装包进入安装界面选择插件打开终端设置环境变量 官网下载Qt4.99版本安装包 链接. 进入安装界面 一直点击下一步直到选择插件 选择插件 安装直至安装完毕 打开终端 输入命令 sudo gedit /usr/bin/qtcreator 插入以下内容并保存退出 #!/bin/sh export QT_HOME=/home/liangjian/Qt5.9.9/Tools/QtCreator/bin $QT_HOME/q
error: ‘SIOCGSTAMP’ undeclared (first use in this function); did you mean ‘SIOCGARP’?
qiaoliong的博客
08-25 2341
银河麒麟V10源码编译Qt5.9.8时,出现error: ‘SIOCGSTAMP’ undeclared (first use in this function); did you mean ‘SIOCGARP’
tcpdump(四)保存、回放、流量
清风扬
04-10 4587
流量保存与回放 做过网络流量分析的朋友,或许都有一个共同的需求,那就是都要做"流量保存"和"流量回放"。 流量保存:把抓到的网络包存储到磁盘上,保存下来,为以后使用。 流量回放:把历史上的某一时刻段的流量,重新模拟回放出来,用于流量分析。 -w 选项:将流量保存到文件中 [root@test ~]# tcpdump -i ens39 -w tcp.txt tcpdump: list...
linux中的libpcap中捕获数据包的时间戳
starshift的专栏
12-16 2690
<br />以后转帖的文章都只贴链接和标题。<br /> <br />标题:linux中的libpcap中捕获数据包的时间戳<br />摘要:<br />      在pf_packet的man文档中有这样一句话:SIOCGSTAMP 用来接收最新收到的分组的时间戳,它的参数是 timeval 结构。接着查找有关SIOCGSTAMP的信息,在man(7)socket中发现了一句话:SIOCGSTAMP 返回 timeval 类型的结构,其中包括有发送给用户的最后一个包接收时的时间戳。被用来测量精确的 RTT
pcap文件格式及写pcap文件
KgdYsg的博客
05-13 3185
一、pcap文件格式(该部分引用网络资料) pcap文件格式及文件解析 第一部分:PCAP文件格式 (一)、基本格式: 文件头 数据包头 数据报 数据包头 数据报… (二)、文件头: 文件结构体,libpcap源码中定义如下 struct pcap_file_header { bpf_u_int32 magic; u_short version_majo...
Linux内核协议栈-一个socket的调用过程,从用户态接口到底层硬件
RToax
04-06 1003
用户创建socket
Linux的网络编程
edisonlg的专栏
01-02 1840
对于多字节数据在内存中有两种存储方式: Little-endian:低字节在前,高字节在后; Big-endian:高字节在前,低字节在后 网络协议在处理多字节整数时,采用的是高端字节序,在编程时一定要考虑主机字节顺序与网络字节顺序的相互转换。 1      socket定义 socket是一种文件描述符。常用的socket类型有两种:流式socket(SOCK_STREAM)和数据报式
qt Linux arm 交叉编译
yinheshenhua的专栏
11-07 1144
1.操作系统ubuntu1~20.04 2. qt5.9.9Index of /archive/qt/5.9/5.9.9 下载qt源码(qt-everywhere-opensource-src-5.9.9.tar.xz)和程序(qt-opensource-linux-x64-5.9.9.run) 3.下载arm交叉编译工具链 下载首页:Builds & Downloads - Linaro Linaro Snapshots 4.安装pyt...
libpcap源码和tcpdump源码文件,用于编译tcpdump
最新发布
11-20
libpcap源码和tcpdump源码文件,用于编译tcpdump
tcpdump/libpcap源码
12-04
tcpdump-4.9.2 and libpcap-1.9.0 source code and cross compile guide.
tcpdump离线安装包bison,flex,libpcap,tcpdump
06-30
tcpdump离线安装包bison,flex,libpcap,tcpdump
linux抓包工具tcpdump的依赖m4,flex,flex++,bison,yacc,libpcap,tcpdump
11-17
安装tcpdump的抓包工具 ./configure make make install 设置软链接 ln -sf /usr/local/bin/m4 /usr/bin/m4 ln -sf /usr/local/bin/flex /usr/bin/flex ln -sf /usr/local/bin/flex++ /usr/bin/flex++ ln -sf /...
解决一个信号6问题(sig6,signal6,SIGABRT,double free or corruption (!prev))
热门推荐
We do not claim to have achieved that goal in every aspect of the software, but we strive for it.
09-04 2万+
我遇到的信号6 99%都是由于数据越界导致,在memcpy的时候没有错误,在free的时候系统报SIGABRT。今天也不例外。代码是我写的,考虑不周,以后拷贝更多加小心。 上图中的data大小为1024,如果memcpy 1025各字节,拷贝正常,但是在你free它的时候就会报上面截图中的错误。这就是原因。遇到这种问题不要怕,新手不要给自己设置障碍,信号是系统提供给你的帮助,而不是困难。...
5——Linux二进制分析——学习——关于elf文件类型/-no-pie选项
We do not claim to have achieved that goal in every aspect of the software, but we strive for it.
02-20 5971
《4——Linux二进制分析——学习——ptrace调试器》的补充。关于编译test的问题。 我直接通过gcc test.c -o test编译,在执行的时候会报错./testshare is not an ELF executable. The type: 3.我用readelf -h test去查看头文件的时候发现test的文件格式是 DYN (Shared object file),而我想...
libpcap/tcpdump—2—网络信息(listening on ens33, link-type EN10MB (Ethernet), capture size 262144 bytes)
We do not claim to have achieved that goal in every aspect of the software, but we strive for it.
09-17 4934
这条信息在运行tcpdump的时候都会见到,那它到底代表什么,又是怎么产生的。这篇文章就说一下这个事。这条信息共有4个内容,分别是:ens33,EN10MB,Ethernet 和 262144.这是最全的情况,查看tcpdump代码你会发现还有3个内容的情况,那个比这个要简单。忘了说了,我使用的tcpdump是4.9.2,libpcap是1.9.0.下面就把这4个内容分别介绍一下。 ens3...
libpcap/tcpdump—3—抓包结论(3 packets captured,3 packets received by filter,0 packets dropped by kernel)
We do not claim to have achieved that goal in every aspect of the software, but we strive for it.
11-05 4163
每次在退出tcpdump的时候,终端上都会显示上图这样的3行信息。本篇文章就是想讲解这3个数值的相关信息。 我会尽量写的详细,但能力有限,核心地方无法点到本质。 这条信息是tcpdump.c中info(register int verbose)接口打印的信息。部分代码如下所示: 其中packets_captured表示捕获到的包的数量,如果指定了-w选项也就是写入到文件中的包数,下一篇...
libcurl中cookie的使用
We do not claim to have achieved that goal in every aspect of the software, but we strive for it.
10-11 1361
异步multi没有使用,easy是最常用的。cookie我试了下面4个宏,基本全了。cookie的细节很多,但不是我的重点,就这么笼统的写一下。 CURLOPT_COOKIE 参考 https://curl.haxx.se/libcurl/c/CURLOPT_COOKIE.html 说明 1、第一种自定义cookie,只需调用一次,多次调用以最后一次为准 2、格式必须是NAME=CONT...
无法下载 http://raspbian.raspberrypi.org/raspbian/pool/main/libp/libpcap/libpcap0.8_1.8.1-6_armhf.deb 404 Not Found [IP: 2a00:1098:0:80:1000:75:0:3 80] E: 无法下载 http://raspbian.raspberrypi.org/raspbian/pool/main/t/tcpdump/tcpdump_4.9.3-1~deb10u1_armhf.deb 40
06-01
2. 修改软件源:打开终端并编辑`/etc/apt/sources.list`文件,将其中的软件源地址替换为其他可用的地址(可以参考Raspbian官方网站上提供的软件源地址),保存修改后运行`sudo apt-get update`命令更新软件源,然后...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值