Java 解析Pcap文件(1)

最新推荐文章于 2024-04-16 15:39:05 发布
最新推荐文章于 2024-04-16 15:39:05 发布
阅读量3.4k 收藏 12
点赞数 2
分类专栏: Pcap包解析 计算机网络 文章标签: java wireshark 计算机网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41512783/article/details/114654785
版权

Java 解析Pcap文件(1)

@author:Jingdai
@date:2021.03.11

由于毕业实验是关于TLS流量分析的,所以最近学习了一下Pcap文件的解析,现记录一下。

Pcap文件结构

在这里插入图片描述

如果所示,Pcap文件由一个Global Header后面接着若干组Packet Header 和 Packet Data 组成。

先看一下 Global Header 的结构,它由 24B 组成,字段按照Pcap文件的顺序列出。

  • magic,占4B,如果它的值是0xa1b2c3d4,代表 Pcap 文件是大端模式存储的;如果它的值是 0xd4c3b2a1,代表 Pcap 文件是小端模式存储的。这里注意这里的大端小端仅仅是指 Pcap 文件的 Global Header 和 Packet Header,而无关Packet Data 里的内容。Packet Data里面就是利用抓包工具如wireshark捕获的数据包,他们都是符合网络字节序的,而网络字节序就是大端模式。如果对大端模式和小端模式不熟悉的童靴可以先去看一下,在回来学习,因为不知道这个解析包一定会有问题。
  • major,占2B,文件的主版本号,一般为0x0200。
  • minor,占2B,文件的次要版本号,一般为0x0400。
  • thisZone,占4B,当地标准时间,如果是GMT则全为0。
  • sigFigs,占4B,时间戳精度,一般全0。
  • snapLen,占4B,最长存储长度。
  • linkType,占4B,链路类型,以太网则为1,一般为1。

下面看一下 Packet Header 的结构,它由 16 B组成。字段按文件顺序列出。

  • timestamp,占4B,时间戳高位,精确到seconds,这是Unix时间戳。捕获数据包的时间一般是根据这个值。
  • timestamp,占4B,时间戳低位,能够精确到microseconds。
  • capLen,占4B,当前数据区的长度,即抓取到的数据帧长度,由此可以得到下一个数据帧的位置。
  • len,占4B,离线数据长度,网路中实际数据帧的长度,一般不大于capLen,多数情况下和capLen值一样。如果文件中保存不是完整的数据包,那么这个值可能要比前面的数据包长度的值大。

Pcap 文件解析

看完上面Pcap文件结构,可以据此将 Pcap 中一个个的 Packet Data 解析出来。先看 Global Header,要用到的就是 magic 和 linkType 字段(如果其他字段要用到稍微改一点就行)。据此构建出 Global Header 类,代码如下。

package com.jingdai.pcapanalyzer.entity.format;

/**
 * GlobalHeader 文件头结构
 */
public class GlobalHeader {
   

	public static final int LINK_TYPE_ETHERNET = 1;

	private int magic;
	private int linkType;
	
	public int getMagic() {
   
		return magic;
	}

	public void setMagic(int magic) {
   
		this.magic = magic;
	}

    public int getLinkType() {
   
        return linkType;
    }

    public void setLinkType(int linkType)
最低0.47元/天 解锁文章
ItsJingdai
关注
  • 2
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
java抓包后对pcap文件解析示例
09-04
主要介绍了java抓包后对pcap文件解析示例,需要的朋友可以参考下
网络抓包数据文件(.pcap/.cap)解析工具(Java实现)
我要学Java_blog
09-27 7235
前言 pcap/.cap文件是常用的数据报存储格式文件,数据按照特定格式存储,普通编辑器无法正常打开该类型文件,使用Ultra Edit编辑器能够以16进制的格式查看数据,无法直观查看数据重要信息。需要特定的解析工具软件读取查看如WiresharkPortable或Microsoft Network Monitor等。 问题 然而一些开发任务需要数据文件(.pcap/.cap)某项信息进行后续处理,无法使用软件获取信息输入到程序中,对开发任务带来一些困难。 解决 引入pcap4j库,该库通过网
Java抓包分析四(基于jnetpcap进行抓包)——分析Http请求数据包
歪桃的博客
09-12 1万+
基于jnetpcap解析http数据包
java解析Pcap(io.pkts)
不忘初心的专栏
10-26 8300
目前解析Pcap的第三方库有Pcap4j、JnetPcap等,这两个库需要调用Native代码,window下运行需要dll文件,linux下需要so包,跨平台特性不是很好,现在推荐使用io.pkts来解析Pcap网络报文,纯java代码就可以实现,使用起来非常方便,跨平台特性非常好。 下面简单介绍下如何使用: 1、新建Gradle工程,在build.gradle文件增加下面依赖 /
基于Java_使用Jpcap进行网络抓包并分析(6千字保姆级教程)
林二月的博客
05-13 1万+
使用 JPCAPwireshark等抓包,可以使用JAVA、PYTHON或C++写代码对数据进行分析,最后可视化显示;本文只实现了使用 Java语言的jpcap接口 在 IDEA环境下抓取数据包的功能这份大作业需要挺多的时间去完成的,只能一部分一部分去啃。这篇博客也只是解决了如何从网卡中捕捉并过滤数据包,但还未能对捕获到的数据包进行分析和可视化。剩下的这些内容就等下一篇博客吧!如果有我表述的不清楚或者错误的地方,欢迎在评论区一起讨论、批评指正。拜拜!
JavaPcap文件解析(三:解析文件)
GuLu_GuLu_jp的专栏
01-11 1万+
前言 数据结构已经定义好了,那么现在就开始正式解析Pcap文件了。 注:以下仅贴出核心代码,项目全部代码会在文章结尾处给出下载链接 解析Pcap文件 1 读取整个Pcap文件到内存 FileInputStream fis = null; try { fis = new FileInputStream(pcap); int m = fis...
java解析Pcap文件获取五元组(可执行)
07-13
本教程将深入探讨如何使用Java解析Pcap文件,以提取其中的五元组信息。 五元组是网络数据包分析中的基本概念,它由源IP地址、目的IP地址、源端口号、目的端口号和传输层协议(通常是TCP或UDP)组成。这五个元素唯一...
pcap文件解析,并且按照五元组分类
06-14
接下来,我们要用Java解析pcap文件Java中没有内置的pcap库,但我们可以借助第三方库,如jpcappcap4j。这两个库提供了API来读取和解析pcap文件。这里我们以pcap4j为例,它是一个纯Java实现的库,能够方便地处理...
java调用pcap的jpcap
05-16
jpcap链接库(SDK)打包下载 jpcapjava下调用pcap的一个链接库
PCAPFlowParser:用于从PCAP文件生成流特征的解析
05-17
用于从PCAP文件生成流特征的解析器 基于ISCXFlowMeter项目。 特征 无双向 超时输入(以秒为单位) 来自捕获的报头的在线数据包的长度,以获取数据包的实际大小(解决了由于已从捕获的数据包中删除了有效负载而从...
pcap4j 实现本地抓包以及解析DNS
09-10
前段时间搞抓包程序,使用Pcap4J实现,简单写了一个demo小程序,有需要的下。
pacp解析java代码
05-23
使用java代码解析pacp文件,划分五元组,解析每位的数据
Java自动调用wireshark解析pcap文件并输出结果
最新发布
weixin_42209881的博客
04-16 577
左边是代码输出的字符串,右边是wireshark手动解析的,一模一样,如果想讲究的话,也可以把左边的字符串格式化,放在一个tree里,看起来也比较有层次感。首先主机上得先安装wireshark的工具软件,然后最好把环境变量配上,如果不配的话,调用的时候,需要用绝对路径,建议配上环境变量,关于pcap文件的介绍,和怎么使用代码手动生成一份pcap文件,可以参考我在其他文章中的介绍,直接就可以看到返回的结果,和wireshark里一模一样的,有了pcap文件之后,再看怎么调用wireshark解析
Java抓包分析一(基于jnetpcap进行抓包)——抓包环境搭建,获取网卡
热门推荐
歪桃的博客
09-03 1万+
基于jnetpcap进行抓包环境以及开发环境的搭建
pcap java_java解析Pcap文件获取五元组(可执行)
weixin_36486217的博客
02-19 462
【实例简介】java解析Pcap文件获取五元组(可运行)【实例截图】【核心代码】PcapTestZ└── PcapTestZ└── PcapTestZ├── 111.206.37.193#08#6#222.20.52.208#9111.pcap├── 111.206.37.193#80#6#222.20.52.208#23406.pcap├── 115.156.147.219#2266#6#222...
网络安全系列-十九:使用Pcap4J读取pcap包内容并转换为hex显示
penriver的博客
04-26 1964
Pcap4J是一个用于捕获、生成和发送数据包的Java库。 Pcap4J通过JNA封装了一个本地包捕获库(libpcap、WinPcap或Npcap),并为您提供了面向java的api。 本文基于Pcap4J读取pcap包内容,并把二进制的packet转换为byte,hex,ascii形式,转换结果与wireshark一致
Java抓包分析三(基于jnetpcap进行抓包)——抓取Http请求数据包
歪桃的博客
09-07 1万+
认识http协议包,基于jnetpcap抓取一个http包数据
网络安全系列-二十七: 基于pkts.io解析pcap,生成五元组及payload
penriver的博客
06-11 1611
pkts.io是一个用于读写pcaps的纯Java库。它的主要目的是操作/分析现有的pcaps,允许您围绕pcaps构建各种工具。 目前使用JAVA解析Pcap的第三⽅库有Pcap4j、JnetPcap等,这两个库需要调⽤Native代码,window下运⾏需要dll⽂件,linux下需要so包,跨平台特性不是很好 推荐使⽤io.pkts来解析Pcap文件,使⽤起来⾮常⽅便且跨平台特性 本文提供基于pkts.io解析pcap文件,生成网络报文的基本信息:五元组及上层应用的payload信息。...
Java 解析Pcap文件(2)
qq_41512783的博客
03-11 1420
Java 解析Pcap文件(2) @author:Jingdai @date:2021.03.11 前面介绍了Pcap文件的结构并对Pcap文件的 Global Header 和 Packet Header进行了解析,接下来就是对Packet Data 即数据链路层的帧进行解析了。 数据链路层解析 Pcap包的Packet Data就是数据链路层的帧,可以根据前面的Packet Header 中的 capLen 字段知道对应的Packet Data 数据的字节数,从而进行读取。这里仅仅以以太网的帧为例进
java解析pcap文件五元组信息
07-01
### 回答1: Java可以利用第三方库Jpcap解析pcap文件的五元组信息。在使用Jpcap之前,需要先下载和安装Jpcap库。 首先,我们需要创建一个能够读取pcap文件的Capture对象。代码如下: `Capture capture = new Capture();` 然后,我们需要设置Capture对象的文件路径,指定pcap文件所在的位置。代码如下: `capture.openFile("filepath.pcap");` 接下来,我们可以通过循环遍历Capture对象的包,获取每个包的五元组信息。代码如下: ``` while(capture.getNextPacket() != null){ byte[] packet = capture.getPacket(); //解析五元组信息 //...代码 } ``` 在循环内部,我们可以利用Jpcap库提供的方法来解析包的五元组信息。五元组信息包括源IP地址、目标IP地址、源端口号、目标端口号和传输协议。具体解析方法如下: ``` Packet packet = new Packet(packet, Packet.PROTOCOL_IP); if (packet instanceof IPPacket) { IPPacket ipPacket = (IPPacket) packet; String sourceIP = ipPacket.getSourceAddress(); String destinationIP = ipPacket.getDestinationAddress(); int sourcePort = 0; int destinationPort = 0; if (packet instanceof TCPPacket) { TCPPacket tcpPacket = (TCPPacket) packet; sourcePort = tcpPacket.getSourcePort(); destinationPort = tcpPacket.getDestinationPort(); } else if (packet instanceof UDPPacket) { UDPPacket udpPacket = (UDPPacket) packet; sourcePort = udpPacket.getSourcePort(); destinationPort = udpPacket.getDestinationPort(); } String transportProtocol = ipPacket.protocolDescription; //打印五元组信息 System.out.println("源IP地址:" + sourceIP + ",目标IP地址:" + destinationIP + ",源端口号:" + sourcePort + ",目标端口号:" + destinationPort + ",传输协议:" + transportProtocol); } ``` 通过以上代码,我们可以获取pcap文件中每个包的五元组信息,并打印出来。 最后,记得在程序结束后关闭Capture对象,释放资源。代码如下: `capture.close();` 以上是Java解析pcap文件五元组信息的基本步骤和代码实现。通过利用Jpcap库,我们可以方便地获取pcap文件中的五元组信息,进行进一步的网络分析和处理。 ### 回答2: PCAP文件是一种常用的网络数据捕获文件格式,它可以用来存储网络数据包。在网络分析和安全领域中,解析PCAP文件的五元组信息非常重要。 五元组信息指的是TCP/IP协议栈中的五个重要参数,即源IP地址、目的IP地址、源端口号、目的端口号和协议类型。解析PCAP文件的五元组信息可以帮助我们分析网络通信的源和目的,识别网络中的主机和服务等。 对于Java程序来说,解析PCAP文件的五元组信息可以通过使用相关的库和API实现。以下是一个简单的示例代码,展示了如何使用开源库jpcap解析PCAP文件中的五元组信息: ```java import jpcap.*; import jpcap.packet.*; public class PCAPParser { public static void main(String[] args) throws Exception { // 打开PCAP文件 NetworkInterface[] devices = JpcapCaptor.getDeviceList(); JpcapCaptor captor = JpcapCaptor.openFile("filename.pcap"); // 逐个解析数据包 while (true) { Packet packet = captor.getPacket(); if (packet == null) break; // 获取五元组信息 if (packet instanceof IPPacket) { IPPacket ipPacket = (IPPacket) packet; String sourceIP = ipPacket.src_ip.getHostAddress(); String destinationIP = ipPacket.dst_ip.getHostAddress(); int sourcePort = 0; int destinationPort = 0; if (ipPacket instanceof TCPPacket) { TCPPacket tcpPacket = (TCPPacket) ipPacket; sourcePort = tcpPacket.src_port; destinationPort = tcpPacket.dst_port; } else if (ipPacket instanceof UDPPacket) { UDPPacket udpPacket = (UDPPacket) ipPacket; sourcePort = udpPacket.src_port; destinationPort = udpPacket.dst_port; } String protocol = ipPacket.protocolDescription; // 输出五元组信息 System.out.println("Source IP: " + sourceIP); System.out.println("Destination IP: " + destinationIP); System.out.println("Source Port: " + sourcePort); System.out.println("Destination Port: " + destinationPort); System.out.println("Protocol: " + protocol); System.out.println("--------------------------"); } } // 关闭PCAP文件 captor.close(); } } ``` 以上代码使用jpcap库读取并解析PCAP文件中的数据包。通过遍历数据包,我们使用IPPacket类获取源IP地址、目的IP地址和协议类型。之后,根据具体的协议类型,我们使用TCPPacket或UDPPacket类获取源端口号和目的端口号。 最后,输出五元组信息供进一步的分析和使用。这样,我们就可以使用Java解析PCAP文件中的五元组信息了。当然,解析PCAP文件还涉及到其他的一些操作,比如过滤、统计等,可以根据具体需求进行扩展和处理。 ### 回答3: Java解析pcap文件五元组信息的过程如下: pcap文件是一种网络数据包捕获文件格式,它记录了在计算机网络中传输的数据包的原始内容和元数据。五元组是识别网络数据流的关键信息,包括源IP地址、目标IP地址、源端口号、目标端口号和传输协议。 1. 打开pcap文件:使用Java文件操作类库打开pcap文件,并读取其中的数据包内容和元数据。 2. 解析数据包:遍历pcap文件中的数据包,使用Java的网络协议解析库对每个数据包进行解析。这个过程中可以获取到数据包的源IP地址、目标IP地址、源端口号、目标端口号和传输协议。 3. 保存五元组信息:将每个数据包中解析得到的五元组信息存储在一个数据结构中,比如使用Java的列表或映射等。 4. 分析五元组信息:对保存的五元组信息进行分析,可以统计每个五元组出现的次数,找出频率最高的五元组,或者进行其他复杂的网络分析。 通过以上步骤,使用Java可以很方便地解析pcap文件中的五元组信息。这些信息对于网络安全研究、网络流量监控和网络性能优化等领域都非常重要。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值