pcap文件格式及其大文件切割——C语言

最新推荐文章于 2024-06-30 17:22:02 发布
最新推荐文章于 2024-06-30 17:22:02 发布
阅读量1.1k 收藏 2
点赞数
分类专栏: C“海”探幽 文章标签: pcap文件 文件切割
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34276514/article/details/90733818
版权

一、Pcap文件格式以及变量类型的选取

   这些有很多前辈已经介绍过了,这里就不赘述了。可以参考前辈们的文章,这里推荐两个。

        https://www.cnblogs.com/caoguoping100/p/3658792.html

        https://blog.csdn.net/jackyzhousales/article/details/78032054

二、C语言进行文件切割

   重点来了,直接上exe以及测试文件(已压缩完,可直接试用程序。)下载链接:

       链接:https://pan.baidu.com/s/1yxswxS1bELxwHfxV9UMN3Q

       提取码:hh9i

    简单讲解一下程序,程序的主要功能就是将较大pcap文件切割成wireshark较容易打开的一个个小文件(小文件数量可以人为确定)。

    程序主要分为三个部分:

  (1)计算待切割文件大小

  (2)切割文件头

  (3)切割数据包头,创建并打开待写入文件将文件头、数据包头和数据写入

    程序的较难点就在于怎么记录每次切割的位置、怎么计算出已经切割和输入了多少数据。

     void GetPcapFileData(FILE* Functionfp)函数用于将文件头切割出来存储在全局变量中,因为一个pcap大文件只有一个文件头,我们只需要保存一个文件头然后将切割出的文件头分配给每个小文件就可以保证wireshark正确读取。根据前辈们的研究定义一个结构体(在头文件中)。

      void GetPcapIndividualHeader(FILE* tp,FILE* tp2)函数用于将数据包头和数据切割出来放入tp2指向的文件中。这里需要用结构体解析出数据包头中描述数据部分大小的值。在我的程序中ph结构体用于存储数据包头,存储数据部分大小的变量是ph.capture_len。

      主函数部分使用sprintf函数循环创建所需小文件,每次for循环都创建一个新文件,在for循环中使用while循环来执行GetPcapIndividualHeader函数。在执行GetPcapIndividualHeader之前先将切割出的文件头存进去。SizeofFile/FileNumber是根据文件大小和所需切割的小文件数量计算出的每个小文件大约是多少字节。GetPcapIndividualHeader循环执行完以后,文件偏移指针会指向第一个小文件中最后一个数据包的下一个数据包包头,这时候的文件偏移指针减去一开始执行while循环时的文件偏移指针的值就是这次while循环切割出的第一个小文件的大小(单位为byte)。循环的结束判断使用ftell函数获取待切割文件每次的文件偏移指针位置,如果大于等于SizeofFile,说明已全部切割完成,程序完成。

      这个程序只是一个简单的版本,没有进行用户优化,也没有做输入流的错误检测,所以可能会出现一些错误,之后有需要的话可能会做一些优化。但是正常切割应该是可以进行的。如果遇到什么问题或者有什么想法可以通过2772672879@qq.com联系我。
毛老C
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
Asura:具有大规模多线程功能的大规模Pcap分析器(DEF CON 26)
05-18
具有大规模多线程功能的大规模Pcap分析器(DEF CON 26) “宇宙并不复杂,只有很多。” -理查德·费曼(Richard Feynman) Required: libtins http://libtins.github.io/ Intel TBB # apt install libpcap-dev # apt install libtins-dev quick test: # ./asura pcaps 随着网络流量的快速增长,在处理网络诊断,事件响应和CTF等许多方面时,我们在处理大型数据包捕获文件方面正面临着较长的处理时间。 Wireshark和Linux grep命令基本上在单进程模式下运行,因此不善于在合理的处理时间内分析数十或数百GB的数据包转储。 另一方面,GPGPU等高性能设备在我们的笔记本电脑上运行时仍然体积庞大且昂贵。 Asura One是一款便携式大包捕
wireshark对pcap包进行分割
Start_of_Our的博客
12-09 6916
使用 wireshark 软件对pcap包进行分割 **pcap包过大,将其分割成几个较小的包** 步骤1:打开wireshark 文件 点击导出特定分组: 步骤2: 第一次分割:选择Range ,在右边的输入框输入分割包的范围 0 - 100000 ,获取前面100000个包,输入保存名称并保存。 步骤3: 第二次分割:选择Range ,在右边的输入框输入分割包的范围 100000 - 114499 ,获取剩下数据包,输入保存名称并保存。 最终结果 成功将原始的pcap包分割成两个pcap
pcap包常见拆分方法
最新发布
Wait_Godot的博客
06-30 617
简单介绍了流量包的常见拆分方法,并就按流划分流量包的方法举了实例。
Linux分割PCAP文件的三种方式
热门推荐
wwrzzu的博客
12-23 1万+
【前言】 当pcap文件太大以致于wireshark无法打开时,您就需要借助一些工具进行pcap文件的分割。本文章中介绍的方法仅是笔者所了解的,望相互学习~ 在学习分割pcap文件前,最好先了解pcap文件的格式呦~ 【方式一】 wireshark自带的editcap。首先进入wireshark安装目录。 (I)按包数量分割。 editcap -c count input.pcap o
wiki多个文件一起导入_Wireshark网络分析(一)PCAP文件切割及合并
weixin_39972519的博客
12-09 755
wireshark工具,不,是”神器“,在网络故障分析、网络协议理解如TCP等方面发挥着重要的功能。总之,牛B闪闪。笔者在工作中,通常会借助 tcpdump&wireshark 抓取数据包后进行分析。考虑整理相关分析过程做出一个wireshark的系列,有些问题和大家一起探讨。先从pcap文件处理说起。概述笔者通常使用tcpdump在服务器抓取数据包,生成PCAP格式然后导入到w...
PCAP报文切割
weixin_44435894的博客
04-26 652
1.找到切割工具,editcap.exe。2.进入该目录,在cdm下。
java抓包后对pcap文件解析示例
09-04
在Java编程环境中,抓包(Packet...总之,Java解析pcap文件涉及理解pcap文件格式、处理字节序转换以及解析数据包头部和内容。此示例提供了一个起点,但实际项目中可能需要更复杂的实现以应对各种网络协议和数据包结构。
C语言分析pcap文件
04-15
通过对pcap文件格式的理解和C语言代码的编写,可以有效地分析和提取网络数据包中的有用信息。这种方法不仅适用于安全审计、故障排查等场景,还可以为开发基于网络的应用程序提供技术支持。希望本文的介绍能够帮助...
Pcap 文件格式和WireShark
10-26
### PCAP 文件格式详解与 WireShark 使用指南 #### 一、PCAP 文件格式简介 PCAP(Packet Capture)是一种广泛使用的数据包捕获格式,主要用于网络监控和数据分析。许多网络安全工具都基于此格式进行数据捕获。...
python 抓包保存为pcap文件并解析的实例
09-19
Python在网络安全领域中被广泛用于数据包的抓取和分析,本实例主要讲解如何使用Python的Scapy库来抓包并保存为pcap文件,以及后续如何解析这些pcap文件。 首先,我们要导入必要的模块,包括`os`用于文件操作,以及...
pcap格式文件分析-源码
01-30
标题中的“pcap格式文件分析-源码”指的是在计算机网络中用于捕获和存储网络数据包的pcap(Packet Capture)文件格式的解析过程,通常与网络分析、故障排查和安全监控相关。这种格式是许多网络分析工具,如Wireshark...
PCAP处理工具大全
qq_40379977的博客
06-23 5515
流量处理工具记录。
Wireshark在windows下如何分割pcap
sidneyyy的博客
10-24 2589
一、打开Wireshark所在的安装路径,并打开命令行窗口。可以看到在对应文件夹下成功分割了pcap包。二、在命令行窗口输入分割pcap包的命令。
SplitCap切分pcap
airen的博客
11-25 4930
SplitCap下载 SplitCap 是一款免费工具,旨在根据 IP 地址、5 元组或 MAC 地址等标准将捕获文件PCAP 文件拆分为较小的文件。下载地址:SplitCap Windows下使用 下载完SplitCap后,可以在windows终端中直接使用,常用选项如下: -r #指定输入文件(*.pcap) -o #指定切分后输出目录 -s #指定切分模式,如下 bssid : Traffic grouped based on WLAN BSSID flow : Each flow, i.
2021-07-05 pcap文件太大进行切割
qq_41610713的博客
07-05 1974
pcap文件切割 1.在文件夹创建一个新的文件test.pcap 2.在pcap文件夹,在文件路径cmd打开窗口, 3.使用命令行 editcap -i input.pcap output.pcap e.g: editcap -i 1200 input.pcap output.pcap 1200秒切割 editcap -c 1200 input.pcap output.pcap 1200个文件切割 参数c:按每个文件包的个数分割;参数i按每个文件时间分 ...
c语言,实现按照流来拆分数据包并保存为pcap
qq_45128278的博客
12-07 2196
在上一篇输出五元组的代码的基础上修改的。 解析每个数据包,得到五元组 对五元组进行处理,双向的五元组修正为同样的五元组(可以根据IP、端口的大小) 判断五元组是否在已有的表格中,如果不在则插入(可以用数组) 将这个包写到对应的输出数据包中 #include<stdio.h> #include<string.h> #include<stdlib.h> #include<math.h> #include<netinet/in.h> typedef
C语言使用libpcap输出报文到pcap文件
m
08-26 2267
一、pcap文件格式简介 pcap文件格式由一个文件头,加上若干个分组header + 分组数据组成。 pcap整体文件结构: 文件头: 分组header: 二、libpcap库函数介绍 为了输出pcap文件,将使用到以下的函数: // 创建一个 pcap_t 句柄用于写入文件 // @param linktype 参见 http://www.tcpdump.org/linktypes.html // @param snaplen 指定捕获(最大)长度 p...
Wireshark分割、合并pcap文件
hgr_com的博客
11-25 7513
Wireshark分割、合并pcap文件 1、分割pcap文件 (1)File->Export Specified Packets(导出特定分组): (2)根据需要保存分组: Captured:pcap文件中的所有报文 Displayed:当前显示的所有报文(比如使用了过滤条件,则Displayed指的就是过滤后得到的报文) All packet:导出所有报文 Selected packet:导出被选中的所有报文 Range:导出指定序号范围内的所有报文 2、合并两个pcap文件 (1)Fil
Pcap文件格式转rep文件格式
05-18
可以使用Wireshark来转换PCAP文件格式为REP文件格式。以下是具体步骤: 1. 打开Wireshark并导入PCAP文件。 2. 选择File菜单下的Export Packet Dissections,然后选择As Plain Text文件格式。 3. 在“Export As”...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值