.pcap文件格式的再分析

最新推荐文章于 2024-05-26 21:17:11 发布
最新推荐文章于 2024-05-26 21:17:11 发布
阅读量4.4k 收藏 6
点赞数
分类专栏: 网络通信 文章标签: 网络 header struct windows 解密 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/vycode/article/details/7284011
版权
本文详细介绍了.pcap文件格式,包括文件头、数据包头、链路层数据等内容。数据包由文件头(包含tcpdump标识和版本信息)、数据包头(含时间戳和链路层数据长度)以及链路层数据(如以太网、PPP协议等)组成。通过分析数据包头和链路层数据,可以解密和处理网络传输中的IP、UDP数据。
摘要由CSDN通过智能技术生成

当你在Windows或者Linux环境下用tcpdump命令抓取数据包时,你将得到如下格式的tcpdump文件:

文件头| 数据包头 | 链路层数据 | 数据包头 | 链路层数据 | 数据包头 | 链路层数据 |......

1. 文件头:每一个文件都以一个24字节的文件头开头。前四个字节是tcpdump文件标志“A1 B2 C3 D4”或为“D4 C3 B2 A1”。

2. 数据包头 | 链路层数据:文件头之后,就是“数据包头 | 链路层数据”为一组的这样一组组数据。

3. 数据包头长度16个字节,它不是网路上真正传输的数据,它包含的信息主要是截获这个包的时间等信息。数据包头的第8-11和12-15字节(按编程习惯,第一个字节为0字节)表示后面链路层数据包的长度。8-11字节是其理论长度,12-15字节为其实际长度,如果存在截断情况,两者可能不同。如果在tcpdump命令中使用了 -s 0 参数,则8-11字节和12-15字节应该相等。

从数据包头结束,到长度指明的字节数为止,是实际在网络中传输的链路层数据包。然后,就是下一个数据包头。

4. 链路层数据

链路层数据包格式和传输的方式有关:局域网共享上网,

最低0.47元/天 解锁文章
vyCode
关注
专栏目录
安恒八月赛流量分析 (详细的解题过程和思路(mailtwo.pcap,mailtwo1.pcap,mailtone.pcap,mailtwo.pcap等)
路baby的博客
10-13 1889
安恒八月赛流量分析 (详细的解题过程和思路(mailtwo.pcap,mailtwo1.pcap,vpnone.pcap,vpntwo.pcap,mailtone.pcap,mailtwo.pcap) ctf-流量分析
.cap .pcap数据包文件(ipv4 转ipv6)
09-29
把.cap .pcap文件中的ipv4数据包转换成对应的ipv6数据包,其他的数据包不变, 可以用于批量生产ipv6数据包(用于测试),资源包括源代码和已经编译好的exe,还有一个批量处理的.bat文件
cap或pcap文件
09-18
cap或pcap文件结构
C++基于WinPcap抓UDP包并解析内容
11-14
C++基于WinPcap抓UDP包并解析内容,VS2013环境,宽字节
pcap的用法
Wait for 的专栏
11-21 9304
1 #include    2    3 char errbuf[PCAP_ERRBUF_SIZE];   4    5 pcap_t *pcap_open_live(const char *device, int snaplen,int promisc, int to_ms, char *errbuf)   6 pcap_t *pcap_open_dead(int linktype,
网络抓包文件格式(.pcap/.cap)剖析
热门推荐
街头看日出的博客
04-12 3万+
pcap
pop3.pcap_pop3.pcap_
10-02
这个pcap文件可能记录了客户端发起连接的SYN包以及服务器的SYN+ACK响应,最终形成完整的TCP三次握手过程。 2. **身份验证**:连接建立后,客户端发送用户名和密码进行身份验证。这可能在pcap文件中表现为明文或者...
网络数据流逆向分析“潜逃之谜.pcap”文件
09-12
利用 WinHex、Wireshark 等工具,逆向分析“潜逃之谜.pcap”文件,根据 案件描述找到案件调查线索,理解并掌握基于 Wireshark 的网络数据流分析方法。
.pcapng文件格式和.pcap文件格式
书伯的博客
11-04 1万+
原网页 本文为机翻后人工修饰了一些,总结一句话就是 .pcapng是.pcap的升级版 pcap捕获文件格式自计算机网络早期以来一直是通用的包捕获格式。 几乎所有捕获工具都支持pcap格式。 虽然供应商多年来已经创建了新的格式,但大多数工具支持转换为pcap格式。 虽然pcap今天仍然使用,但它确实有一些限制,使其他格式更具吸引力。 一种名为“pcapng”的新格式已经开发多年了。 pcapng的目标是解决pcap的一些不足,并为未来创建一种灵活的格式。 CloudShark的pcapng支持将pcap.
cap转pcap格式的C实现
11-02
Linux平台下cap格式数据包转成pcap格式(用Wireshark工具查看)数据包。
pcap文件的结构和格式说明以及内容解析
weixin_42209881的博客
04-16 626
先了解一下pcap文件的内容格式和解析规则,然后可以自己用代码生成一份pcap文件,模拟抓包后得到的数据,
pcap_dump 写 *.pcap文件数据
三滴雨的博客
12-02 1万+
pcap_dump 写 *.pcap文件数据  int main(void) { pcap_t *dev = NULL; char errMsg[256] = { 0 }; char *com = "tcp port 80"; struct bpf_program bpg; memset(&bpg, 0x00, sizeof(struct bpf_program));
pcap文件分析
weixin_50311553的博客
01-12 8338
pcap文件格式的解析
pcap详解
10-01 7156
pcap格式及API详解
pcap文件理解
最新发布
qq_54122067的博客
05-26 2626
Pcap文件中是二进制,使用winhex软件,打开是十六进制数,winhex是只有十六进制数,而wireshake自动将pcap中的数据包按照时间顺序将分开并赋予一个No.标号(标号是时间顺序)。:32位,一个UNIX格式的精确到秒时间值,用来记录数据包抓获的时间,记录方式是记录从格林尼治时间的1970年1月1日 00:00:00 到抓包时经过的秒数;ttl: 占据一个字节(8位),表示生存时间(Time to Live),用于限制数据包在网络中的生存时间,每经过一个路由器,TTL减1,直到为0时被丢弃。
pcap 解析
weixin_33800593的博客
07-17 381
http://wenku.baidu.com/link?url=BkRDW0md1bM_MRfJVykSTu7_Ppe4mj1Zauxfmb9_gvCFPohUpa59m-IbEq2DWGLmTr1kW_-dkAGCAIOpBhUTk6ormkcfj8vU-Zl-My4MQ9a 该网页内容基本已经够用,下面是一些需要修改或注意的地方。 1. struct pcap_pkthdr { ...
pcap文件解析
fengxiao_never的专栏
07-19 1211
毕设的代码又要进行一番大改动啦!想把抓来的数据包拿Wireshark来做协议分析,之前发现用Winpcappcap_dump()所保存出来的文件可以直接用Wireshark打开,感觉很不错,于是开始尝试研究pcap_dump()出来的文件的内部格式。待研究个差不多时突然想到也可以直接调用pcap_dump()来保存,这样就不必写程序生成Wireshark可以识别的文件了,并且可以see also
PCAP文件解析
jia870723的专栏
07-15 1131
1 PCAP包解析 24字节头部,主要关注Magic4字节0xa1b2c3d4,以及LinkType4字节。 LinkType定义: 常用类型: 0 BSD loopback devices, except for later OpenBSD 1 Ethernet, and Linux loopback devices 6...
Ethereal的.pcap文件格式详解
"本文详细介绍了pacp格式,特别是其在Ethereal软件中默认使用的*.pcap文件格式。pacp文件头包含24个字节的字段,如Magic、Major、Minor、ThisZone、SigFigs、SnapLen和LinkType,分别用于标识文件开始、版本信息、...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值