PCAP 修复教程 (pcapfix)

最新推荐文章于 2024-06-08 23:25:58 发布
最新推荐文章于 2024-06-08 23:25:58 发布
阅读量1.8k 收藏
点赞数
分类专栏: 网络 文章标签: 网络
原文链接:https://f00l.de/blog/pcap-repair-tutorial-pcapfix/
版权

PCAP Repair Tutorial (pcapfix) - f00ls bl0ghttps://f00l.de/blog/pcap-repair-tutorial-pcapfix/

PCAP 修复教程 (pc

PCAP 修复教程 (pcapfix)
发表于2012 年 3 月 2 日 通过 拉弗
本文档描述了如何手动修复 PCAP 文件或如何解决此类问题。如果您不想手动修复文件,也可以使用“ pcapfix ”工具。

1.打开故障PCAP并分析错误代码

在此示例中,使用了 file1.pcap。

PCAP 修复教程 - Wireshark 损坏的 PCAP 文件

此 PCAP 文件的格式无法识别,乍一看表明文件头有问题。

2. 创建您自己的 PCAP 并将其与有故障的 PCAP 进行比较

首先,您创建自己的新 PCAP 文件“file2.pcap”,例如使用 tcpdump。
接下来,跳转到文件的开头并检查第一个数据包。

这里的开头是 HEX:FF FF FF FF FF FF 00 30 05 7C D2 4A 08 06
这些是以太网报头中的 MAC 地址。
在此之前,数据包头仍然有 16 个字节,在 Wireshark 中不显示。但是,您应该记住这一点!
接下来你在Hex Editor的file2.pcap中比较或查找这些HEX值。这些值可以在文件开头相对找到。
只有 40 个字节仍然是前缀。16 个字节确定第一个数据包的数据包头,24 个字节构成文件的全局头。

全局标题:     D4 C3 B2 A1 02 00 04 00 00 00 00 00 00 00 00 00 FF FF 00 00
                            01 00 00 00 E9 80 4C 4F F7 34 03 00 2A 00 00 00 2A 00 00 00

现在使用错误文件“file1.pcap”重复完整的步骤。

许多FF可能指向第一个数据包的MAC地址。前面的 16 个字节因此确定了数据包头,而全局头完全丢失了。

3. 在错误的 PCAP 文件中插入全局头文件

现在,要修复全局头文件,我们只需将工作 PCAP 文件中的 24 字节头文件粘贴到损坏的文件中。在这样做时,我们接受诸如最大数据包长度之类的信息也从我们复制的全局标头中接管。

完成此步骤后,将文件另存为"file3.pcap"。
宾果游戏,现在 Wireshark 可以识别 file3.pcap 并可以打开它。
但是如果出现其他错误信息会怎样?

4.分析其他错误信息

此错误表明 Wireshark 无法识别特定数据包,因为它大于允许的 65535 字节。结果,Wireshark 会打开 PCAP 文件,但不会完全打开,因为它会在损坏的数据包处停止。
现在必须检查这个包。

5.查找坏包

为此,请跳转到 Wireshark 中的最后一个数据包。

记住最后 8 个字节(02 04 05 B4 01 01 CA BC)并在十六进制编辑器的 file3.pcap 中查找它们。

下一个标头在最后一个识别的数据包 (SYN/ACK) 之后立即开始。
在:3E 3C 60 50 ......

6.修复损坏的包

在本例中,故障数据包是 HTTP 数据包,可以通过 GET 请求识别。现在你有几个选项来处理这个有问题的包。

6.1。删除包

为此,您只需查看请求以哪个 HTTP 标头结束。

=> 接受字符集:windows-949,utf-8;q=0.7,*;q=0.3\r\n\r\n

41 63 63 65 70 74 2D 43 68 61 72 73 65 74 3a 20 77 69 6e 64 6f 77 73 2d 39 34
39 2c 75 74 66 2d 38 3b 71 3d 30 22 32c 2a 3b 71 3d 30 22 33 0d 0a 0d 0a 0d 0A

所以你有包的开头和结尾,然后你可以简单地删除它们。

6.2. 将包推入上一个

为此,最后一个运行的 SYN/ACK 包的包长度被改变,GET 请求的内容因此被推入 SYN/ACK。为此,您必须将 GET 数据包的长度 (0x01E7 = 487) 添加到 SYN/ACK (0x3E = 62) 的长度,并替换 D24-D28 位置的数据包长度或捕获长度(数据包标头的)或 D29-D0B 。

删除:0x3E (62) = SYN/ACK 的原始长度
设置:0x0225 (549 = 62+487) = SYN/ACK + GET 请求的长度

整个事情以网络字节顺序指定,如下所示:

6.3. Spoof Packet 包头

在第三个选项中,简单地重新创建 GET 请求的标头并将其插入到最后一个完整数据包 (SYN/ACK) 之后。如前所述,包头由 16 个字节组成(网络字节顺序的信息):

4 个字节用于时间戳,以秒为单位 F4 8D 3B 4F
4 个字节用于时间戳,以纳秒为单位 1C 9E 00 00
4 个字节用于捕获长度 3E 00 00 00
4 个字节用于原始长度 3E 00 00 00

在这个例子中,SYN/ACK 的数据包头被简单地复制,只有数据包长度或捕获长度被调整为 GET 数据包。
然后 GET 数据包具有相同的时间戳,但这并不重要。

在步骤 6.2。已经提到了 GET 数据包的长度(0x01E7 = 487)。
这样您就可以得到以下数据包标头:

F4 8D 3B 4F 1C 9E 00 00 E7 01 00 00 E7 01 00 00

7.再次保存完整的PCAP文件

使用上述三个选项之一,您现在可以保存“file4.pcap”,然后将其读入 Wireshark。该文件现在功能齐全,可以在 Wireshark 中顺利分析。

maimang09
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
pcapfix:修复损坏的pcappcapng文件-开源
04-26
该工具尝试通过分别修复全局头数据包块并通过搜索和猜测数据包头或块来恢复数据包来修复损坏的pcappcapng文件
修复WinPcap安装失败批处理
05-11
此批处理文件解决WinPcap不能安装的问题,运行此批处理后就可以安装新的WinPcap程序,p2p终结者提示网卡尚未初始化就是WinPcap的安装错误问题,重新安装WinPcap就可解决这样的问题。
【流量、日志分析】常见的web流量分析、windows日志分析
m0_63563528的博客
08-07 1208
Windows日志特指Windows操作系统中各种各样的日志文件,如应用程序日志,安全日志、系统日志。
CTF-流量分析题型总结(1)
最新发布
2301_81864699的博客
06-08 760
ctf的流量分析题细化方向
pcapfix: 修复损坏的PCAP文件并恢复网络流量数据
gitblog_00096的博客
03-16 1029
pcapfix: 修复损坏的PCAP文件并恢复网络流量数据 pcapfixrepair corrupted pcap files项目地址:https://gitcode.com/gh_mirrors/pc/pcapfix网络安全分析、网络性能监控和网络取证等领域中,PCAP(Packet Capture)文件扮演着至关重要的角色。它们捕获了网络中的原始数据包,并允许我们在事后进行详细分析。然...
Pcapfix下载安装教程
阿鱼的小世界
04-29 2733
Pcapfix简介 pcapfix是一种修复损坏pcap文件的工具。它会检查一个完整的pcap全局头。如果有任何损坏字节就会修复它。如果缺少一个字节,它会创建和补充一个新的字节到文件的开头,然后试图找到pcap包头、检查和修复它。 下载 官网:https://f00l.de/pcapfix/ 第一个为Linux系统,第二个为win系统 安装教程 Win系统 下载解压使用cmd定位...
MISC:流量包取证(pcap文件修复、协议分析、数据提取)
小哈里的博客
09-21 4394
鼠标协议:每一个数据包的数据区有四个字节,第一个字节代表按键,当取 0x00 时,代表没有按键、为 0x01 时,代表按左键,为 0x02 时,代表当前按键为右键。第二个字节可以看成是一个 signed byte 类型,其最高位为符号位,当这个值为正时,代表鼠标水平右移多少像素,为负时,代表水平左移多少像素。HTTPs = HTTP + SSL / TLS. 服务端和客户端的信息传输都会通过 TLS 进行加密,所以传输的数据都是加密后的数据。但是,如果采用主动模式,那么数据传输端口就是 20;
用于sip通话pcap音频
03-21
标题中的“用于sip通话pcap音频”表明这是一个与网络通信协议SIP(Session Initiation Protocol)和网络数据包捕获工具pcap相关的主题。在IT领域,SIP是一种用于建立、管理和终止多媒体通信会话(如语音和视频通话)...
NTP协议pcap数据包
08-02
使用wireshark捕获NTP协议的pcap数据包进行分析
pcap报文回放工具
04-22
window下pcap文件的回放工具,基于python scapy、pyqt5开发。需要源码的请私信。
pop3.pcap_pop3.pcap_
10-02
这个“pop3.pcap”文件是一个网络数据包捕获文件,通常由像Wireshark这样的网络分析工具创建或读取。它包含了在POP3协议交互过程中网络上交换的所有数据包的详细信息。 POP3协议主要由以下部分组成: 1. **连接...
cap转pcap格式的C实现
11-02
Linux平台下cap格式数据包转成pcap格式(用Wireshark工具查看)数据包。
Tools:用于各种CTF的工具
05-21
CTF工具 声音的 -Windows版本-允许分析音频文件。 -Windows / Linux-命令行工具,用于接收声音文件并输出Midi文件 - 将Midi文件转换为1)乐谱和2)字母注释 暴力破解 -暴力密码 密码学 取p和q并返回一个私钥 尝试查找用于xor加密数据的密钥 开发 -GDB不可替代的补充。 添加了许多有用的功能,用于查找和利用二进制文件中的错误。 在程序中查找小工具。 与ROP漏洞利用一起使用。 在为CTF编码远程漏洞利用时非常有用。 具有功能丰富的库,旨在简化对CTF的利用开发。 一定要检查这个。 法证 Wireshark-标准的pcap分析工具。 显示网络流量。 pcapfix-修复损坏的pcap文件。 aircrack-ng -WEP和WPA-PSK破解工具(使用pcap文件)。 HxD - Windows-软件十六进制和磁盘编辑器。 He
Wireshark抓包实验验证
qq_51023112的博客
11-09 1881
数据链路层 实作一 熟悉 Ethernet 帧结构 使用 Wireshark 任意进行抓包,熟悉 Ethernet 帧的结构,如:目的 MAC、源 MAC、类型、字段等。 问题:你会发现 Wireshark 展现给我们的帧中没有校验字段,请了解一下原因。 答:这是因为有时校验和会由网卡计算,这时wireshark抓到的本机发送的数据包的校验和都是错误的,所以默认关闭了WireShark自己的校验。 实作二 了解子网内/外通信时的 MAC 地址 1、ping 你旁边的计算机(同一子网),同时用 Wiresh
c语言-从pcap数据包中提取出host的值并提取出根域名
qq_45128278的博客
12-04 783
是在之前五元组信息的代码基础上改的,因此有一些冗余。 主要思想就是字符串匹配。 提取出host #include<stdio.h> #include<string.h> #include<stdlib.h> #include<math.h> #include<netinet/in.h> typedef int32_t bpf_int32; typedef u_int32_t bpf_u_int32; typedef u_int16_t u_shor
Pcap包的包头与负载解析,制作数据集
weixin_45154431的博客
11-24 3458
pcap文件是常用的数据报存储格式,可以理解为就是一种文件格式,只不过里面的数据是按照特定格式存储的,所以我们想要解析里面的数据,也必须按照一定的格式。普通的记事本打开pcap文件显示的是乱码,用安装了HEX-Editor插件的Notepad++打开,能够以16进制数据的格式显示,用wireshark这种抓包工具就可以正常打开这种文件,愉快地查看里面的网络数据报了,同时wireshark也可以生成这种格式的文件。当然这些工具只是我经常使用的,还有很多其它能够查看pcap文件的工具。
中文PCAP API详解与常用函数
PCAP API(Packet Capture Application Programming Interface)中文文档详细介绍了PacketCapture库,这是一个高级网络包捕系统接口,它允许开发者对网络中的所有数据包进行访问,即使这些包是发送给其他主机的。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值