Pcap文件详解

最新推荐文章于 2024-07-27 14:51:42 发布
最新推荐文章于 2024-07-27 14:51:42 发布
阅读量2.3k 收藏 13
点赞数 3
分类专栏: 手写一个抓包软件 文章标签: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43695848/article/details/125413024
版权

day3 Pcap文件详解

Pcap Header

每个pcap文件只有一个文件头,总共占24(B)字节,以下是总共7个字段的含义。(一个字节可以由2个十六进制表示)

 

  1. Magic(4B):标记文件的开始,并用来识别文件和字节顺序。值为0xa1b2c3d4或0xd4c3b2a1。0xa1b2c3d4表示是大端模式,按照原来的顺序一个字节一个字节的读;0xd4c3b2a1表示小端模式,后面的字节都要交换顺序。现在的电脑大部分是小端模式。
  2. Major(2B):当前文件的主要版本号,一般为0x0200。
  3. Minor(2B):当前文件的次要版本号,一般为0x0400。
  4. ThisZone(4B):当地的标准事件,如果用的是GMT则全零,一般全零。
  5. SigFigs(4B):时间戳的精度,一般为全零。
  6. SnapLen(4B):最大的存储长度,该值设置所抓获的数据包的最大长度,如果所有数据包都要抓获,将该值设置为65535(0xFFFF); 例如:想获取数据包的前64字节,可将该值设置为64。
  7. LinkType(4B):链路类型。

Packet Header

Pcap文件中可以有多个数据包头,每个数据包头后面都跟着数据包。数据包头则依次为:时间戳(秒)、时间戳(微秒)、抓包长度和实际长度,依次各占4个字节。以下是Packet Header的4个字段含义

 

  1. Timestamp(4B):时间戳高位,精确到秒,这是Unix时间戳。捕获数据包的时间一般是根据这个值
  2. Timestamp(4B):时间戳低位,微秒
  3. Caplen(4B):当前数据区的长度,即抓取到的数据帧长度,由此可以得到下一个数据帧的位置。
  4. Len(4B):离线数据长度,网路中实际数据帧的长度,一般不大于Caplen,多数情况下和Caplen值一样

由于是小段模式,所在电脑实际读到的数据区长度位0x00000042。转换成10进制为16X4+2=66,所以后面66个字节为数据包内容。

 

 

Leyk
关注
  • 3
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
报文格式-PCAP文件格式详解
村中少年的专栏
12-17 8400
分析pcap文件格式,在wireshark中显示了pcap文件头的一些信息
网络安全系列-二十五: PCAP文件格式详解及读取PCAP文件源码示例
penriver的博客
05-14 5967
在Linux里,pcap是一种通用的数据流格式,是用于保存捕获的网络数据的一种非常基本的格式。 很多开源的项目都使用这种数据格式,如wireshark、tcpdump、scapy、snort 本文针对pcap文件格式进行详解,并提供读取pcap文件的源代码示例
如何读取pcap
m0_57236802的博客
11-01 3503
读取PCAP(Packet Capture)文件可以使用多种工具和编程库。
pcap文件理解
qq_54122067的博客
05-26 1402
Pcap文件中是二进制,使用winhex软件,打开是十六进制数,winhex是只有十六进制数,而wireshake自动将pcap中的数据包按照时间顺序将分开并赋予一个No.标号(标号是时间顺序)。:32位,一个UNIX格式的精确到秒时间值,用来记录数据包抓获的时间,记录方式是记录从格林尼治时间的1970年1月1日 00:00:00 到抓包时经过的秒数;ttl: 占据一个字节(8位),表示生存时间(Time to Live),用于限制数据包在网络中的生存时间,每经过一个路由器,TTL减1,直到为0时被丢弃。
pcap文件详解
热门推荐
天行健,君子以自强不息
04-27 10万+
一.简介 pcap文件是常用的数据报存储格式,可以理解为就是一种文件格式,只不过里面的数据是按照特定格式存储的,所以我们想要解析里面的数据,也必须按照一定的格式。普通的记事本打开pcap文件显示的是乱码,用安装了HEX-Editor插件的Notepad++打开,能够以16进制数据的格式显示,用wireshark这种抓包工具就可以正常打开这种文件,愉快地查看里面的网络数据报了,同时wiresh...
pcap详解
10-01 7023
pcap格式及API详解
wireshark工具pcap文件转换
m0_46829545的博客
08-24 1095
wireshark工具pcap文件转换
pcap文件格式以及libpcap详解
summer_zgh的博客
09-06 3916
pcap是什么 pcap是一种数据流格式,wireshark软件可以直接把网络数据流变成这种格式。 在Linux里,pcap可以说是一种通用的数据流格式,很多开源的项目都需要用到这种格式的文件。 ROHC的库里,测试脚本的入口参数之一就是一个pcap格式的数据流文件。 如果清楚了pcap的格式,就可以自己去生成数据流文件,从而去使用ROHC的库。 libpcap是什么 libpcap(Pac...
Pyshark——安装、解析pcap文件
计算机硕士的博客
06-16 700
Pyshark——安装、解析pcap文件
Pcap 数据包捕获格式详解
人人都懂物联网
05-24 1万+
Pcap 是 Packet Capture 的英文缩写,是一种行业标准的网络数据包捕获格式。如果你是网络开发人员,那么通常会使用 Wireshark、Tcpdump 或 WinDump 等网络分析器捕获 TCP/IP 数据包,而抓包后存盘的文件格式就是 .pcap 文件文件格式 Pcap 文件格式是一种二进制格式,支持纳秒级精度的时间戳。虽然这种格式在不同的实现中有所不同,但是所有的 pcap 文件都具有如下图所示的一般结构。 全局报头 全局报头(Global Header)包含魔数(Magic nu
cap或pcap文件
09-18
### CAP或PCAP文件结构详解 CAP或PCAP文件,是一种广泛用于网络数据包捕获的标准文件格式。这种格式最初由Network Associates为他们的Sniffer Pro产品设计,后来被Wireshark等众多网络分析工具采纳。CAP和PCAP文件...
pcap文件格式.pdf
10-04
"PCAP文件格式详解" PCAP文件格式是一种通用的网络数据包捕获文件格式,广泛应用于网络协议分析、网络安全测试、网络故障诊断等领域。下面将对PCAP文件格式的各个组成部分进行详细解释。 PCAP文件头部(Pcap ...
python读取pcap文件.pdf
09-29
### Python读取pcap文件及以太网帧分析 #### 一、概述 在网络安全、数据分析及网络监控等领域,能够熟练地使用Python处理各种网络数据包成为一项重要的技能。本篇将详细介绍如何利用Python来读取`pcap`文件,并...
pcap帮助文档
11-25
6. **pcap文件格式**:pcap文件pcap数据包捕获的标准存储格式,包含原始数据包及其元数据。这种格式可被多种工具读取,如Wireshark。 7. **应用场景**:pcap广泛应用于网络安全(如入侵检测系统),网络调试,...
德国PCAP系列高精度电容测量芯片中文资料.rar
12-16
《德国PCAP系列高精度电容测量芯片技术详解》 在电子工程领域,高精度电容测量芯片扮演着至关重要的角色,特别是在精密仪器、通信设备、电源管理以及自动化系统等应用中。德国PCAP系列电容测量芯片以其卓越的性能和...
Linux网络工具“瑞士军刀“集合
分享不一样的技术,与你一起共同成长!
07-26 283
下面结合之前的一些使用经验为大家介绍一下一些经典应用场景下,这个网络命令工具如何使用的。例如怎么查看当前服务器监听哪些端口、连接目标主机端口情况如何?平常我们在进行Linux服务器相关运维的时候,总会遇到一些网络相关的问题。我们可以借助这些小巧、功能强悍的工具帮助我们排查问题、解决问题...
S5730举例
最新发布
jjjxxxhhh123的博客
07-27 647
例子: 假设在校园网络中,某些交换机之间存在多个连接(可能是多个光纤),如果没有STP,这些多个连接可能导致数据包在网络中无限制地传输,形成网络风暴,导致整个网络瘫痪。PIM-SM通过仅在需要时在网络中传输组播数据包,减少网络带宽的占用,提高数据传输效率。[sysname-GigabitEthernet0/0/1] ospf cost 10 // 设置接口的OSPF成本,影响路径选择。综上所述,这些网络技术和配置在大学校园网络中起到关键作用,确保网络运行高效、安全和可靠,同时满足用户的多样化需求。
网络编程套接字socket
安权_code的博客
07-23 962
网络编程中的套接字(socket)是实现网络通信的关键,换句话来说,套接字像两个端点,而发送方与接收方就是通过这两个端点进行通信的,socket的意思是插座,表示插头和插座连接上后,即发送方和接收方连接上了,然后把电流通过插座流向插头对标发送方与接收方建立了链接。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值