tcpdump文件格式分析

最新推荐文章于 2024-04-03 08:39:04 发布
最新推荐文章于 2024-04-03 08:39:04 发布
阅读量5.4k 收藏 5
点赞数 3
文章标签: linux tcpdump
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u014497084/article/details/50684939
版权

tcpdump命令是linux下很常用的抓包命令。使用-w选项可以把抓包的数据记录到文件。那么这个文件的格式是什么样的呢?

首先我们抓几个包试试
tcpdump -w test.dump -c 5
其中-c 5表示抓5个包

使用十六进制查看下内容

0000000: d4 c3 b2 a1 02 00 04 00 00 00 00 00 00 00 00 00
0000010: 60 00 00 00 01 00 00 00 ac a5 ac 54 4b 6b 01 00
0000020: 60 00 00 00 ba 00 00 00 00 19 e7 32 a1 c0 d4 ae
0000030: 52 b2 d1 e7 08 00 45 10 00 ac 7e cf 40 00 40 06
0000040: a0 e0 ac 10 97 5a c0 a8 16 79 e2 23 5c 59 52 03
0000050: df ce b4 d3 13 90 50 18 00 4c 1b 2b 00 00 09 0a
0000060: 61 a6 ca 3d 7d 23 71 7a db 45 19 df 43 7d 69 a3
0000070: bc 8a 27 9a bb 5e cb b6 f6 74 cd c5 d2 1f 97 74
0000080: 31 27 76 14 68 f0 27 ca ac a5 ac 54 0b 6d 01 00
0000090: 3c 00 00 00 3c 00 00 00 d4 ae 52 b2 d1 e7 00 19
00000a0: e7 32 a1 c0 08 00 45 00 00 28 0c e1 40 00 3d 06
00000b0: 16 63 c0 a8 16 79 ac 10 97 5a 5c 59 e2 23 b4 d3
00000c0: 13 90 52 03 e0 52 50 10 40 29 1b e8 00 00 00 00
00000d0: 00 00 00 00 ac a5 ac 54 91 6d 05 00 60 00 00 00
00000e0: ea 00 00 00 ff ff ff ff ff ff 00 19 b9 2c f1 c7
00000f0: 08 00 45 00 00 dc 00 00 40 00 40 11 b2 80 ac 10
0000100: 97 70 ac 10 97 ff 00 8a 00 8a 00 c8 f6 0e 11 0a
0000110: 59 06 ac 10 97 70 00 8a 00 b2 00 00 20 45 4d 45
0000120: 50 45 44 45 42 45 4d 45 49 45 50 46 44 46 45 43
0000130: 41 43 41 43 41 43 41 43 41 43 41 41 41 00 20 45
0000140: 4e 46 4a 45 ac a5 ac 54 28 d6 09 00 3c 00 00 00
0000150: 3c 00 00 00 01 80 c2 00 00 00 00 19 e7 32 a1 91
0000160: 00 27 42 42 03 00 00 02 02 3c 50 01 00 19 e7 32
0000170: a1 80 00 00 00 00 50 01 00 19 e7 32 a1 80 80 11
0000180: 00 00 14 00 02 00 0f 00 00 00 00 00 00 00 00 00
0000190: ac a5 ac 54 06 7c 0c 00 3c 00 00 00 3c 00 00 00
00001a0: ff ff ff ff ff ff 74 86 7a d5 12 90 08 06 00 01
00001b0: 08 00 06 04 00 01 74 86 7a d5 12 90 ac 10 97 29
00001c0: 00 00 00 00 00 00 ac 10 97 29 00 00 00 00 00 00
00001d0: 00 00 00 00 00 00 00 00 00 00 00 00
  • 0-3是一个四字节常数,主机字节序为0xA1B2C3D4,我们称之为 TCPDUMP_MAGIC
  • 4-5是一个两字节常数,主机字节序为0x0002,表示主版本号
  • 6-7是一个两字节常数,主机字节序为0x0004,表示次版本号
  • 8-11是一个四字节常数,全为0,表示时区
  • 12-15是一个四字节常数,全为0,表示时间戳精度
  • 16-19是一个四字节常数,主机字节序为0x00000060,表示每个包抓包大小,默认为96字节,可以通过-s选项设置

  • 20-23是一个四字节常数,主机字节序为0x00000001,表示数据链路层类型,一般是1,表示以太帧

  • 前24个字节是tcpdump文件的头部,一般是固定的内容

  • 从第25字节开始,就是每一个包的信息。依次为:
    秒级时间戳(4字节)、微秒时间戳(4字节)、本次记录的数据包长度(4字节)、实际数据报长度(4字节)、二层报字节(字节数等于本次记录的数据报长度)
  • 其中时间戳、长度等需要转化为主机字节序才是实际的值。
    二层报字节完毕后立即开始下一个包的信息,即从秒级时间戳开始写入下一个包的记录时间、长度和内容等信息。
  • 上例中,第一个包的时间戳为ac a5 ac 54,转为主机字节序为
    54 ac a5 ac, 十进制数为1420600748,即2015-01-07 11:19:08微秒时间戳为4b 6b 01 00,转为主机字节序并十进制后为93003,所以第一个包的时间戳就是2015-01-07 11:19:08.93003
  • 第一个包的记录长度为60 00 00 00,即96字节,实际长度为ba 00 00 00,即186字节,表示第一个包比较大,只记录了前96字节。长度信息之后的96字节就是抓到的二层数据报内容。
  • 第二个数据报是在第一个包内容记录到96字节之后,也是从时间戳开始,秒级时间戳和微秒时间戳分别为ac a5 ac 54 0b 6d 01 00
    2015-01-07 11:19:08.93451,记录的长度和实际长度均为3c 00 00 00,即60字节。
猫王chou_ketsu
关注
  • 3
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
tcpdump的入门与使用格式,很好懂
Aiky哇
04-12 731
tcpdump简介 dump the traffic on a network,根据使用者的定义对网络上的数据包进行截获的包分析工具。 tcpdump可以将网络中传送的数据包的“头”完全截获下来提供分析。它支持针对网络层、协议、主机、网络或端口的过滤,并提供and、or、not等逻辑语句来帮助你去掉无用的信息。 实际操作来试试看。 在linux上使用: tcpdump --help 可以看到版本及使用介绍: 在没有任何设置和过滤的情况下试一下,直接使用: tcpdump 然后发现..
tcpdump
weixin_30700977的博客
05-01 291
Linux 报文捕获及分析、服务开启状态分析 抓包工具、分析工具 tcpdump,libpcap(winpcap) wireshark tshark snort(Nids)入侵检测 sniffer 商业 扫描器 nmap snort(NIDS...
tcpdump解析
weixin_45226561的博客
07-03 517
tcpdump抓到的包是经过协议处理的,也就是说如果因为窗口大小、队列大小而丢失的包是不会抓到的。但是可以通过ifconfig的tx,rx看到。tcp抓到的包导入wireshark中,可以通过wireshark相关工具分析丢包率等信息,更加方便实用。
tcpdump抓包分析
07-10
tcpdump抓包分析tcpdump抓包分析tcpdump抓包分析tcpdump抓包分析tcpdump抓包分析tcpdump抓包分析tcpdump抓包分析tcpdump抓包分析
tcpdump文件,tcpdump
10-18
tcpdump是一款广泛使用的网络封包分析工具,主要在命令行环境下操作,允许用户实时监控和记录网络上的数据传输。这个工具对于网络管理员、系统管理员以及IT专业人士来说是必不可少的,因为它可以帮助他们诊断网络...
pcapng文件格式解析
08-19
PCAPNG文件格式已经被广泛应用于网络Packet capture和分析领域,例如Wireshark、 Tcpdump等工具都支持PCAPNG文件格式。 PCAPNG文件格式是一种功能强大、灵活的捕获文件格式,可以满足各种网络协议和应用程序的需求...
libpcap源码和tcpdump源码文件,用于编译tcpdump
11-20
2. **协议解析**:tcpdump能解析多种网络协议,包括TCP、UDP、IP、ICMP等,并将数据包的内容以可读的格式显示出来。 3. **调试和故障排除**:在网络问题诊断中,tcpdump可以帮助分析异常流量,查找问题根源。 4. **...
安卓tcpdump抓包文件
11-30
关于`tcpdump`的输出文件,通常是以`.pcap`格式存储,这是一种通用的网络封包数据格式,支持多种协议。`.pcap`文件可以用Wireshark等工具进行解析,显示详细的网络交互信息,包括源和目标IP地址、端口号、协议类型、...
tcpdump源码分享
04-21
5. **实时与离线分析**:tcpdump不仅可以实时捕获数据包,还能读取已保存的pcap文件进行离线分析。源码中涉及了如何处理这两种情况的代码逻辑。 6. **性能优化**:为了处理高流量网络,tcpdump需要进行高效的内存...
c++实现对cap抓TCP、UDP包文件的解析
12-23
c++实现对cap抓TCP、UDP包文件的解析,可以用windump抓包后直接解析。通过循环解析出cap文件中每个包的IP头的各部分含义、TCP/UDP头的含义。这些部分都储存在结构体中,如果需要统计,读者可自行编写统计规则。由于本程序是逐个包按照包头各字段分块解析,因此如果读者对解包的性能要求较高的话不建议下载。
Linux命令:tcpdump解析(非常详细)零基础入门到精通,收藏这一篇就够了
最新发布
Javachichi的博客
04-03 2833
硅特嵌入式,专注于嵌入式软、硬件知识分享tcpdumptcpdump 是一个在 Unix/Linux 系统上常用的网络抓包工具,用于捕获网络数据包并将其显示或保存到文件中。(Wireshare也是一个抓包工具,但是是图形化工具,常用于Windows上)数据包:数据包是在网络上传输的基本单位,包含了网络通信的信息,如源地址、目标地址、协议类型、数据内容等。1语法- tcpdump:命令本身。- [options]:用于指定 `tcpdump` 的选项和参数,如捕获控制参数、显示控制参数、过滤参数等。
TCPDUMP命令详解(2)
weixin_34138521的博客
08-16 75
-A以ASCII码方式显示每一个数据包(不会显示数据包中链路层头部信息).在抓取包含网页数据的数据包时,可方便查看数据(nt:即Handycapturingwebpages). -ccount tcpdump将在接受到count个数据包后退出. -Cfile-size(nt:此选项用于配合-wfile选项使用) 该选项使得...
tcpdump使用详解及数据包分析
热门推荐
凉_白开的博客
03-20 5万+
tcpdump使用与数据分析 语法 tcpdump(选项) 选项 -A 以ASCII码方式显示每一个数据包(不会显示数据包中链路层头部信息). 在抓取包含网页数据的数据包时, 可方便查看数据(nt: 即Handy for capturing web pages). -c count tcpdump将在接受到count个数据包后退出. -C file-size ...
网络:tcpdump
OceanStar的博客
10-19 1324
tcpdump 是什么 通俗的说,tcpdump是一个抓包工具,用于抓取互联网上传输的数据包。 形象的说,tcpdump就好比是国家海关,驻扎在出入境的咽喉要道,凡是要入境和出境的集装箱,海关人员总要打开箱子,看看里面都装了点啥。 学术的说,tcpdump是一种嗅探器(sniffer),利用以太网的特性,通过将网卡适配器(NIC)置于混杂模式(promiscuous)来获取传输在网络中的信息包。 tcpdump 可以工作在各种 Unix类的操作系统上,包括 Linux、FreeBSD、macOS、Sol
tcpdump抓包二进制tcp协议详细分析
mergerly的专栏
08-22 1万+
1、tcpdump -i eth0 port 11751 and src host 192.168.1.34 -x -s0 tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on eth0, link-type EN10MB (Ethernet), capture size
TCPdump指定时间或者指定大小进行循环抓取报文
lhwpysf的博客
06-03 3万+
背景:我们用tcpdump工具循环抓取网卡上的报文,我们会遇到如下情况: 1. 抓取报文后隔指定的时间保存一次; 2. 抓取报文后达到指定的大小保存一次; 本文就这两种情况给出tcpdump的使用方法     1. 抓取报文后隔指定的时间保存一次: tcpdump -i eth3 -s0 -G 60 -Z root -w %Y_%m%d_%H%M_%S.pcap 这里解释下-G选项
tcpdump是干什么的
山脚下的20岁
12-06 2348
什么是tcpdump tcpdump是采取命令行的方式,对网络接口的数据包进行筛选抓取。说白了,tcpdump就是一个抓包工具,抓取网络传输中的数据包。 参数 -i:指定tcpdump要监听的网络接口,默认第一个网络接口,eth0(可以用来指定某个网络接口) -b:在网络层上选择协议(ip,arp,rarp),tcpdump -b arp:只搜索第一个网卡的arp协议 -w:将抓取的信息写入到文件...
一.tcpdump命令的使用
千门公子襄
07-19 546
一.基础命令 -a 尝试将网络和广播地址转换成名称。 -c<数据包数目> 收到指定的数据包数目后,就停止进行倾倒操作。 -d 把编译过的数据包编码转换成可阅读的格式,并倾倒到标准输出。 -dd 把编译过的数据包编码转换成C语言的格式,并倾倒到标准输出。 -ddd 把编译过的数据包编码转换成十进制数字的格式,并倾倒到标准输出。 -e 在每列倾倒资料上显示连接层级的文件头。 ...
tcpdump .pcap 文件解析
08-11
要解析 pcap 文件,你可以使用 tcpdump 命令行工具。tcpdump 是一个功能强大的网络抓包工具,可以捕获和分析网络数据包。 以下是使用 tcpdump 解析 pcap 文件的步骤: 1. 打开终端或命令提示符:在你的操作系统中...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值