Ubuntu 14.04 64bit上解析wireshark抓包pcap文件格式和源码实现

最新推荐文章于 2024-05-14 14:29:46 发布
最新推荐文章于 2024-05-14 14:29:46 发布
阅读量3.9k 收藏 2
点赞数
分类专栏: Ubuntu 文章标签: pcap Ubuntu
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tao_627/article/details/26870751
版权
pcap文件格式是常用的数据报存储格式,包括wireshark在内的主流抓包软件都可以生成这种格式的数据包
下面对这种格式的文件简单分析一下: 
 
pcap文件的格式为:
  文件头    24字节
  数据报头 + 数据报  数据包头为16字节,后面紧跟数据报
  数据报头 + 数据报  ......
pcap.h里定义了文件头的格式
struct pcap_file_header {
        bpf_u_int32 magic;
        u_short version_major;
        u_short version_minor;
        bpf_int32 thiszone;    
        bpf_u_int32 sigfigs;   
        bpf_u_int32 snaplen;   
        bpf_u_int32 linktype;  
};


Pcap文件头24B各字段说明:

Magic:4B:0x1A 2B 3C 4D:用来标示文件的开始
Major:2B,0×02 00:当前文件主要的版本号
Minor:2B,0×04 00当前文件次要的版本号
ThisZone:4B当地的标准时间;全零
SigFigs:4B时间戳的精度;全零
SnapLen:4B最大的存储长度
LinkType:4B链路类型
常用类型:
0            BSD loopback devices, except for later OpenBSD
1            Ethernet, and Linux loopback devices
6            802.5 Token Ring
7            ARCnet
8            SLIP
9            PPP
10           FDDI
100         LLC/SNAP-encapsulated ATM
101         “raw IP”, with no link
102         BSD/OS SLIP
103         BSD/OS PPP
104         Cisco HDLC
105         802.11
108         later OpenBSD loopback devices (with the AF_value in network byte order)
113         special Linux “cooked” capture
114         LocalTalk

字段说明:
Timestamp:时间戳高位,精确到seconds(值是自从January 1, 1970 00:00:00 GMT以来的秒数来记)
Timestamp:时间戳低位,精确到microseconds (数据包被捕获时候的微秒(microseconds)数,是自ts-sec的偏移量)
Caplen:当前数据区的长度,即抓取到的数据帧长度,由此可以得到下一个数据帧的位置。
Len:离线数据长度:网络中实际数据帧的长度,一般不大于caplen,多数情况下和Caplen数值相等。
(例如,实际上有一个包长度是1500 bytes(Len=1500),但是因为在Global Header的snaplen=1300有限制,所以只能抓取这个包的前1300个字节,这个时候,Caplen = 1300 )

Packet 数据:即 Packet(通常就是链路层的数据帧)具体内容,长度就是Caplen,这个长度的后面,就是当前PCAP文件中存放的下一个Packet数据包,也就 是说:PCAP文件里面并没有规定捕获的Packet数据包之间有什么间隔字符串,下一组数据在文件中的起始位置。我们需要靠第一个Packet包确定。 最后,Packet数据部分的格式其实就是标准的网路协议格式了可以任何网络教材上找得到。
下面是我针对网上相关代码的修改和精炼,主要就是改进了读包方法,每次先读包头,再一次性读取该包数据,并在该包数据内依次解析Ethernet帧,IP帧,TCP帧或是UDP帧。另外改进了异常处理机制,保证退出时文件要关闭,内存要释放。注意运行在64位Linux系统上面;
文件pcap_file_parse.c 
//description: parse wireshark pcap file and write it into local file
//platform: Ubuntu 14.04 64bit Desktop version
//compile:  gcc -g pcap_file_parse.c -o pcap_file_parse
//run: ./pcap_file_parse test.pcap
//author: tao_627@aliyun.com, QQ:48019671
//date: 2014-05-24


#include <pcap.h>
#include <stdio.h>
#include <string.h>
#include <stdlib.h>
#include <ctype.h>
#include <time.h>
#include <errno.h>
#include <sys/types.h>
#include <sys/socket.h>
#include <arpa/inet.h>
#include <netinet/in.h>
#include <netinet/if_ether.h>
#include <netinet/ip.h>
#include <netinet/tcp.h>
#include <netinet/udp.h>
#include <netinet/ip_icmp.h>
#include "pcap_utils.h" //公共函数存放在这里

#define STRSIZE 1024
#define SNAP_LEN 1518       // 以太网帧最大长度
#define SIZE_ETHERNET 14   // 以太网包头长度 mac 6*2, type: 2
#define SIZE_UDP 8         // UDP包头8字节


int main(int argc, char **argv){
    if(argc<=1 || argc>2){
        printf("Usage: %s <input filename>\n", argv[0]);
        return 0;
    }

    struct pcap_file_header *file_header;
    struct pcap_pkthdr *ptk_header;
    struct ether_header *eth_header;
    struct iphdr *ip_header;
    struct tcphdr *tcp_header;
    struct udphdr *udp_header;
    const char *payload;
    int size_packet, size_payload, size_ip, size_tcp;

    FILE *fp, *output;
    int pkt_offset, i=0;
    char buf[STRSIZE], capture_time[STRSIZE];
    u_char *packet = NULL;

    if((fp=fopen(argv[1], "r")) == NULL){
        printf("Error: can not open input pcap file\n");
        exit(0);
    }
    if((output=fopen("./output.txt", "w+")) == NULL){
        printf("Error: can not open the output file\n");
        exit(0);
    }

    file_header = (struct pcap_file_header*)malloc(sizeof(struct pcap_file_header));
    ptk_header = (struct pcap_pkthdr*)malloc(sizeof(struct pcap_pkthdr));

    //validate the pcap file format
    int read_size = fread(file_header, sizeof(char), 24, fp);
    if(read_size != 24){
        printf("cannot read pcacp file header, invalid format\n");
        goto cleanup;
    }
    printf("Pcap file header: %X, %hu, %hu, %u, %u\n",file_header->magic,file_header->version_major,file_header->version_minor,file_header->snaplen,file_header->linktype);
    //allocate a common packet buffer to use
    packet = (u_char*)malloc(file_header->snaplen * sizeof(char));

    pkt_offset = 24;
    while(fseek(fp, pkt_offset, SEEK_SET) == 0){
        i++;
        memset(buf,0,sizeof(buf));
        memset(packet,0,sizeof(packet));
        //read pcap packet header
        if(fread(buf, 16, 1, fp) != 1){
            printf("\nPacket No#%d: cannot read pcap_pkt_header of pcap file\n", i);
            break;
        }
        ptk_header->ts.tv_sec = *(bpf_u_int32*)buf;
        ptk_header->caplen = *(bpf_u_int32*)(buf+8);
        ptk_header->len = *(bpf_u_int32*)(buf+12);

        size_packet = ptk_header->caplen;
        pkt_offset += 16 + size_packet;
        strftime(capture_time, sizeof(capture_time), "%Y-%m-%d %T", localtime(&(ptk_header->ts.tv_sec)));
        printf("capture time: %s, packet len: %u\n", capture_time, size_packet);

        //read a complete packet
        if(fread(packet, 1, size_packet, fp) != size_packet){
            printf("Packet NO.%d: cannot read a whole packet\n", i);
            break;
        }

        eth_header = (struct ether_header*)packet;
        //read ip frame header
        ip_header = (struct iphdr *)(packet + SIZE_ETHERNET);
        size_ip = (ip_header->ihl)*4;
       /* if (size_ip < 20) {
            printf("无效的IP头长度: %u bytes\n", size_ip);
            break;
        }*/

        if ( (ip_header->protocol != IPPROTO_TCP)&&(ip_header->protocol!=IPPROTO_UDP) ){ // TCP,UDP,ICMP,IP
            continue;
        }

        if(ip_header->protocol==IPPROTO_TCP){
            /* TCP头 */
            tcp_header = (struct tcphdr *)(packet + SIZE_ETHERNET + size_ip);
            size_tcp = (tcp_header->th_off)*4;
            if (size_tcp < 20) {
                printf("无效的TCP头长度: %u bytes\n", size_tcp);
                break;
            }

            int sport =  ntohs(tcp_header->th_sport);
            int dport =  ntohs(tcp_header->th_dport);

            printf("%s:%d -> ", inet_ntoa(*(struct in_addr*)(&ip_header->saddr)), sport);
            printf("%s:%d ", inet_ntoa(*(struct in_addr*)(&ip_header->daddr)), dport);

            //内容
            payload = (u_char *)(packet + SIZE_ETHERNET + size_ip + size_tcp);

            //内容长度
            size_payload = ntohs(ip_header->tot_len) - (size_ip + size_tcp);

            if (size_payload > 0) {
                printf("seq:%d ack:%d flag:%d payload:%d bytes\n", ntohs(tcp_header->th_seq), ntohs(tcp_header->th_ack), ntohs(tcp_header->th_flags), size_payload );
                printf("=====================================TCP=====================================\n");
                print_payload(payload, size_payload);
            }
        }else if(ip_header->protocol==IPPROTO_UDP){
            udp_header = (struct udphdr *)(packet + SIZE_ETHERNET + size_ip);

            int sport =  ntohs(udp_header->source);
            int dport =  ntohs(udp_header->dest);

            printf("%s:%d -> ", inet_ntoa(*(struct in_addr*)(&ip_header->saddr)), sport);
            printf("%s:%d ", inet_ntoa(*(struct in_addr*)(&ip_header->daddr)), dport);

            //内容
            payload = (u_char *)(packet + SIZE_ETHERNET + size_ip + SIZE_UDP);

            //内容长度
            size_payload = ntohs(ip_header->tot_len) - (size_ip + SIZE_UDP);
            if (size_payload > 0) {
                printf("payload:%d bytes\n", size_payload );
                printf("=====================================UDP=====================================\n");
                print_payload(payload, size_payload);
            }
        }
    }

cleanup:
    if(file_header)
        free(file_header);
    if(ptk_header)
        free(ptk_header);
    if(packet)
        free(packet);

    fclose(fp);
    fclose(output);
    return 0;
}

文件pcap_utils.h 
#include <stdio.h>
#include <stdlib.h>
#include <string.h>




/*
 * print data in rows of 16 bytes: offset   hex   ascii
 *
 * 00000   47 45 54 20 2f 20 48 54  54 50 2f 31 2e 31 0d 0a   GET / HTTP/1.1..
 */
void
print_hex_ascii_line(const u_char *payload, int len, int offset)
{

	int i;
	int gap;
	const u_char *ch;

	/* offset */
	printf("%05d   ", offset);

	/* hex */
	ch = payload;
	for(i = 0; i < len; i++) {
		printf("%02X ", *ch);
		ch++;
		/* print extra space after 8th byte for visual aid */
		if (i == 7)
			printf(" ");
	}
	/* print space to handle line less than 8 bytes */
	if (len < 8)
		printf(" ");

	/* fill hex gap with spaces if not full line */
	if (len < 16) {
		gap = 16 - len;
		for (i = 0; i < gap; i++) {
			printf("   ");
		}
	}
	printf("   ");

	/* ascii (if printable) */
	ch = payload;
	for(i = 0; i < len; i++) {
		if (isprint(*ch))
			printf("%c", *ch);
		else
			printf(".");
		ch++;
	}

	printf("\n");
}

/*
 * print packet payload data (avoid printing binary data)
 */
void
print_payload(const u_char *payload, int len)
{

	int len_rem = len;
	int line_width = 16;			/* number of bytes per line */
	int line_len;
	int offset = 0;					/* zero-based offset counter */
	const u_char *ch = payload;

	if (len <= 0)
		return;

	/* data fits on one line */
	if (len <= line_width) {
		print_hex_ascii_line(ch, len, offset);
		return;
	}

	/* data spans multiple lines */
	for ( ;; ) {
		/* compute current line length */
		line_len = line_width % len_rem;
		/* print line */
		print_hex_ascii_line(ch, line_len, offset);
		/* compute total remaining */
		len_rem = len_rem - line_len;
		/* shift pointer to remaining bytes to print */
		ch = ch + line_len;
		/* add offset */
		offset = offset + line_width;
		/* check if we have line width chars or less */
		if (len_rem <= line_width) {
			/* print last line and get out */
			print_hex_ascii_line(ch, len_rem, offset);
			break;
		}
	}
}

使用方法:
gcc -g pcap_file_parse.c -o pcap_file_parse.c
假设要解析的pcap文件为test.pcap,有两种方法,一种是解析结果直接输出到屏幕上,另一种是写到指定的文件中,分别对应
./pcap_file_parse test.pcap
./pcap_file_parse test.pcap > output.txt
下面是代码运行效果图

应该注意的问题
1.使用wireshark等抓包时,必须存为pcap文件格式,否则上面的代码解析将会出错.参见下面的截图



雪峰流云
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Ubuntu使用libpcap实现抓包解析
10-31 646
直接上代码先: #include #include #include #include #include #include #include #include static void ethernet_packet_callback(unsigned char *argument, const struct pcap_pkthdr *pcap_header, cons
转)Ubuntu14安装wireshark进行抓包
weixin_34209406的博客
12-11 78
转自:http://jingyan.baidu.com/article/c74d60009d992f0f6a595de6.html 背景: ubuntu14.04/64位为了抓包和分析包 安装过程: sudo apt-get install wireshark 然而,wireshark使用的抓包工具dumpcap要root才能使用.一般用户不能,虽然可以...
ubuntu下安装wireshark
最新发布
weixin_43326436的博客
05-14 1133
紧接着是数据字节区,数据字节区左侧是1个字节1个字节地显示,每个字节用2个16进制数表示。右侧是16进制对应的10进制数字对应的ASCLL字符。右下角是数据统计区,表示捕获到n个分组,显示x个分组,丢弃n-x个分组。User Datagram Protocol: 传输层的数据段头部信息,此处是UDP。3、看到有很多UDP、ARP、ICMP协议等的网络报文。编号| 时间戳 |源地址|目的地址|协议|长度|信息|Ethernet II: 数据链路层以太网帧头部信息。Data: 报文的数据位,展开可以看到内容。
Ubuntu实现 mininet重放pcap流量
weixin_42189863的博客
08-09 771
mininet重放pcap流量 参考:https://blog.csdn.net/yyd19981117/article/details/114301857 修改pcap的源和目的地址 打开test1.pcap查看是否修改成功 源地址都被改成了10.0.0.11,目的地址被改为了10.0.0.13,我们的目标是在mininet上建立这两台主机的拓扑,然后实现这个pcap中流量的重放 修改主机IP地址为pcap里面的地址,h1为源主机,h2为目的主机 - 查看h2,修改成功 在主机h1上输入
wireshark学习——解决Ubuntu下无法使用Wireshark抓包的问题
zixie1991
10-13 907
Ubuntu 安装wireshark后 ,运行的时候发现找不到网卡信息,如下图: 分析:我所使用的帐号是普通用户,没有使用Root权限。这样在普通用户的环境下Wireshark没有权限获得到网卡参数。 解决办法: 1、以root用户运行wireshark,即在终端输入:sudo wireshark,如下图: 2、运行wireshark即可发现找到网卡:
ubuntu20.06+libpcap抓包解析各层协议并保存为pcap文件
qq_43591361的博客
09-07 3250
libpcap(packet capture library),数据包捕获函数库,是linux平台下的网络数据包捕获函数库。它是一个独立于系统的用户层的包捕获API接口,为底层网络监控提供了一个可移植的框架。
Caffe在Ubuntu 14.04 64bit 下的安装.doc
09-01
### Caffe在Ubuntu 14.04 64bit下的安装详解 #### 一、前言 随着深度学习技术的迅速发展,越来越多的研究人员和开发者开始关注并使用深度学习框架进行模型训练与部署。其中,Caffe(Convolutional Architecture ...
Ubuntu 14.04 64位上配置JDK操作步骤
09-15
至此,JDK在Ubuntu 14.04 64位系统上的安装与配置就完成了。这个过程对于其他基于Debian的Linux发行版也有一定的参考价值。如果你在操作过程中遇到任何问题,欢迎提问,我们会尽力提供帮助。感谢你对我们的支持,祝...
Ubuntu14.04离线安装NFS方法和安装包
03-31
压缩包中的文件可能包含这些包的.deb格式,这是Ubuntu的二进制安装包格式。 4. **安装步骤**: - **下载安装包**:确保在有网络的环境中,下载`nfs-kernel-server`和`nfs-common`的`.deb`文件到一个可移动存储设备...
ucGui Running in Linux ubuntu 14.04 64bit, transplat to Qt 5.6, 一个基于Qt5的ucGui Demo .zip
02-18
对于有一定基础或热衷于研究的人来说,可以在这些基础代码上进行修改和扩展,实现其他功能。 【沟通交流】: 有任何使用上的问题,欢迎随时与博主沟通,博主会及时解答。 鼓励下载和使用,并欢迎大家互相学习,共同...
ubuntu 14.04 64位安装配置docker教程
09-30
主要为大家详细介绍了ubuntu 14.04 64位安装配置docker教程,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
树莓派Ubuntu下libpcap编程无法找到libpcap.so.1
lj19990824的博客
09-10 1523
在虚拟机里通过交叉编译工具链编译了一个可执行程序,导入到树莓派中,发现执行时候缺少lib库,报错如下: 解决办法: 1,在/usr/local/lib目录下,导入libpcap.so.1 2,打开 /etc目录下的文件ld.so.conf,添加两行 /usr/local/lib /usr/lib 3,终端下执行重新加载配置的命令 ldconfig 4,在运行程序就可以成功了 ...
Linux下如何过滤、分割以及合并 pcap 文件
weixin_34319999的博客
04-08 1406
如果你是一个测试***侦测系统或一些网络访问控制策略的网络管理员,那么你经常需要抓取数据包并在离线状态下分析这些文件。当需要保存捕获的数据包时,我们一般会存储为 libpcap 的数据包格式 pcap,这是一种被许多开源的嗅探工具以及捕包程序广泛使用的格式。如果 pcap 文件被用于***测试或离线分析的话,那么在将他们注入网络之前通常要先对 pcap 文件进行一些操作。在这...
pcap文件linux怎么打开,pcap文件格式 - 方恨少 - 博客园
weixin_29906279的博客
05-07 1727
前段时间因工作要求,需要对各种数据包进行分析和操作,内容涉及网路协议分析,socket,文件操作等。在此分享下学习和实践的经验。首先介绍下网络抓包、协议分析的必备软件Ethereal,新版(Wireshark)以下还以Ethereal代之,目前最新版本已经支持在无线局域网抓包了。Linux和Windows均有对应安装包,它们分别是gcc和VC++编译的。不过Windows下是基于Winpcap而L...
Ubuntu16.04安装libpcap开发库对pcap文件中的数据包进行过滤
yellow的博客
09-30 5409
Ubuntu16.04下安装了Wireshark的话,应该是已经安装了libpcap0.8的包,如下图:使用sudo apt-get install libpcap-dev安装开发包,安装后系统显示如下图:多了libpcap0.8-dev和libpcap-dev两个包。工作可能截取的数据包文件(pcap文件)含有一些重要的数据包,这时我们需要把他们提取出来保存到新的数据包文件(pcap文件)中。比...
用libpcap打开读取cap文件
小猪猪and小马马的博客
08-23 6790
#include #include #include #include #include #include #include #include #include #include #include #define SNAP_LEN 1518 // 以太网帧最大长度 #define SIZE_ETHERNET 14 // 以太网包头长度 mac 6*2, ty
linux cooked capture
懒雄熊的专栏
07-22 8040
wireshark查看包内容时,有时候我们会发现包的数据链路层头名称为  linux cooked capture。如图: 我们正常的以太网头如下: 为何链路层名称为linux cooked capture?因为包是在linux中使用tcpdump,且指定参数-i any来捕获设备上所有网卡上的包。它会把所有包的以太网头都换成linux cooked capture,wire
Wireshark 提示和技巧 | Linux cooked capture
7ACE的博客
08-25 852
Wireshark 提示和技巧系列 | Linux cooked capture
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值