解析pcap抓包文件,包含pcap头、frame头、eth层、ip层、tcp/udp层等。 C语言+python部分解析...

最新推荐文章于 2023-07-10 15:23:33 发布
VIP文章 最新推荐文章于 2023-07-10 15:23:33 发布
阅读量1.4k 收藏 10
点赞数
文章标签: 网络 c/c++ python
原文链接:http://www.cnblogs.com/wocgcow/p/8473736.html
版权

  参考http://blog.csdn.net/koudaidai/article/details/7673082

首先看下最常见的包的层次:frame层是不是实际传输的数据,是tcpdump添加的一层。eth层如果显示linuxcooked的话是没有指定网卡抓包的原因需要tcpdump -i 指定网卡。

可能会有其他协议层,自行添加即可。例如下图2

                          

1、几个结构体

//pacp文件头结构体
struct pcap_file_header
{
    bpf_u_int32 magic;       /* 0xa1b2c3d4 */
    u_short version_major;   /* magjor Version 2 */
    u_short version_minor;   /* magjor Version 4 */
    bpf_int32 thiszone;      /* gmt to local correction */
    bpf_u_int32 sigfigs;     /* accuracy of timestamps */
    bpf_u_int32 snaplen;     /* max length saved portion of each pkt */
    bpf_u_int32 linktype;    /* data link type (LINKTYPE_*) */
};

//时间戳
struct time_val
{
    int tv_sec;         /* seconds 含义同 time_t 对象的值 */
    int tv_usec;        /* and microseconds */
};

//pcap数据包头结构体
struct pcap_pkthdr
{
    struct time_val ts;  /* time stamp */  
    bpf_u_int32 caplen; /* length of portion present */  
    bpf_u_int32 len;    /* length this packet (off wire) */ 
};

//数据帧头
typedef struct FramHeader_t
{ //Pcap捕获的数据帧头
    u_int8 DstMAC[6]; //目的MAC地址
    u_int8 SrcMAC[6]; //源MAC地址
    u_short FrameType;    //帧类型
} FramHeader_t;

//IP数据报头
typedef struct IPHeader_t
{ //IP数据报头
    u_int8 Ver_HLen;       //版本+报头长度
    u_int8 TOS;            //服务类型
    u_int16 TotalLen;       //总长度
    u_int16 ID; //标识
    u_int16 Flag_Segment;   //标志+片偏移
    u_int8 TTL;            //生存周期
    u_int8 Protocol;       //协议类型
    u_int16 Checksum;       //头部校验和
    u_int32 SrcIP; //源IP地址
    u_int32 DstIP; //目的IP地址
} IPHeader_t;

//TCP数据报头
typedef struct TCPHeader_t
{ //TCP数据报头
    u_int16 SrcPort;//源端口
    u_int16 DstPort;//目的端口
    u_int32 SeqNO;//序号
    u_int32 AckNO; //确认号
    u_int8 HeaderLen; //数据报头的长度(4 bit) + 保留(4 bit)
    u_int8 Flags; //标识TCP不同的控制消息
    u_int16 Window; //窗口大小
    u_int16 Checksum; //校验和
    u_int16 UrgentPointer;  //紧急指针
}TCPHeader_t;

//UDP数据
typedef struct UDPHeader_s
{
    u_int16_t SrcPort;     // 源端口号16bit
    u_int16_t DstPort;    // 目的端口号16bit
    u_int16_t len;        // 数据包长度16bit
    u_int16_t checkSum;   // 校验和16bit
}UDPHeader_t;
View Code

 

2、代码只是解析源ip 包大小以及时间输出到文件中,其他字段自行添加。简单的将就是read协议长度数据到对应协议结构体中输出即可。可以认为都是小端序的。

#include<stdio.h>
#include<string.h>
#include<stdlib.h>
#include<netinet/in.h>
#include<time.h>
#include <unistd.h>
#include <sys/stat.h>

#define BUFSIZE 10240
#define STRSIZE 1024

typedef int32_t bpf_int32;
typedef u_int32_t bpf_u_int32;
typedef u_int16_t u_short;
typedef u_int32_t u_int32;
typedef u_int16_t u_int16;
typedef u_int8_t u_int8;

//pacp文件头结构体
struct pcap_file_header
{
    bpf_u_int32 magic;       /* 0xa1b2c3d4 */
    u_short version_major;   /* magjor Version 2 */
    u_short version_minor;   /* magjor Version 4 */
    bpf_int32 thiszone;      /* gmt to local correction */
    bpf_u_int32 si
最低0.47元/天 解锁文章
weixin_30920513
关注
  • 0
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
C语言分析pcap文件
04-15
本文档是C语言编写,基于linux下对pcap格式文件的分析,希望能够提供帮助。
pcap流量中提取文件的五种方法
热门推荐
l8947943的博客
07-07 1万+
找到一个pcap流量文件,使用如下命令,即可提取数据中的文件。 2. 安装NetworkMiner 下载地址:http://sourceforge.net/projects/networkminer/files/latest/download 下载后,使用该软件打开pcap文件,提取文件即可。 安装完成后,使用如下命令: 4. 安装chaosreader 这个我还没测试过,先插眼,玩意后面需要使用。 工具地址:https://github.com/brendangregg/Chaosreader 使用如下命
解析pcap文件,逐步认识tcp/ip协议栈
最新发布
保持敏锐,保持进化。
07-10 4496
通过解析pcap初步认识协议栈
pcap报文格式和wireshak中的frame
村中少年的专栏
05-12 4100
本文主要聊一聊pcap报文文件格式以及wireshark frame的相关内容
c语言解析pcap文件,打印出每个数据包的五元组信息并输出到txt。
qq_45128278的博客
11-20 2985
使用C语言解析pcap文件,要求能够打印出每个数据包的五元组信息,并将五元组信息写入文件5_tuple.txt中。 #include<stdio.h> #include<string.h> #include<stdlib.h> #include<math.h> #include<netinet/in.h> typedef int32_t bpf_int32; typedef u_int32_t bpf_u_int32; typedef u_int
python 抓包保存为pcap文件解析的实例
09-19
今天小编就为大家分享一篇python 抓包保存为pcap文件解析的实例,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
java抓包后对pcap文件解析示例
09-04
主要介绍了java抓包后对pcap文件解析示例,需要的朋友可以参考下
C#使用TCP/UDP协议通信并用Wireshark抓包分析数据
02-24
本文章主要讲述使用VS2019编写C#程序,并通过UDP/TCP进行通信,使用Wireshark抓包软件抓取发送的包并分析数据结构,由于涉及到客户端和通信端,可以使用两台电脑,一台电脑编写客户端代码,一台电脑编写服务器端代码...
c++实现对cap抓TCPUDP文件解析
12-23
c++实现对cap抓TCPUDP文件解析,可以用windump抓包后直接解析。通过循环解析出cap文件中每个包的IP的各部分含义、TCP/UDP的含义。这些部分都储存在结构体中,如果需要统计,读者可自行编写统计规则。由于...
pcapTCP/UDP/FTP分析
07-12
课程学习任务 对抓到的pcap包进行分析 输出 tcp/udp 五元组 可对ftp传输的文件还原 环境:VS2015 + wincap
C语言解析pcap数据包格式
背着行囊去远方的博客
02-25 9550
通过tcpdump命令或者wireshark抓取数据包。 如下图所示: pcap文件格式: 24字节pcap文件+(16字节pcap数据包+数据包)*n 解析源码如下: #include<stdio.h> #include<string.h> #include<stdlib.h> #include<netinet/in.h> ...
c语言pcap解析,用c语言解析Openflow数据包
weixin_32199769的博客
05-19 329
我有一个关于openflow数据包编程的问题 . 我 Build 了一个openflow网络,通过wireshark捕获控制器和交换机之间的数据包,并将其保存在pcap文件中 . 现在我想在C程序中读取该文件并分析openflow控制包 . 我认为一种解决方案是逐字节读取文件并分离openflow数据包,但这似乎并不是一种有用的方法 . 所以我的问题是:是否有任何特殊的库(如pcap)在C语言中...
C语言PCAP文件
wk910921的博客
03-08 4240
0背景介绍 对于做网络的工程师,pcap文件是经常接触的,通常抓包之后保存的报文即使pcap文件,用来分析定位问题是非常方便的。这篇文章介绍下pcap文件格式、报文格式以及如何将一个报文写入到pcap文件c语言实现。 pcap文件简介 Pcap文件是最常用的数据报文存储格式,可以理解为一种文件格式。Pcap文件用记事本打开会显示乱码,对于pcap文件有特定的打开工具,例如最常用的wireshark软件,可以用wireshark打开来分析一个pcap文件的内容。 对于一个做网络相关开发的工程师,会分.
c语言编程题报文解析,C语言解析pcap文件得到HTTP信息实例
weixin_35801437的博客
05-19 494
程序功能为解析由Wireshark生成的pcap文件。实现步骤:1)用Wireshark软件抓包得到test.pcap文件2)程序:分析pcap文件 -> 分析pcap_pkt -> 分析帧 -> 分析ip -> 分析tcp -> 分析http信息#include#include#include#include#include#define BUFSIZE ...
C语言读取DHCP数据包pcap文件)内容
sakura0908的博客
05-18 1739
/pacp文件结构体//识别文件和字节顺序:小端/大端模式//主版本号//次版本号//当地的标准时间//时间戳精度//最大的存储长度//链路类型//时间戳//时间戳高位,精确到seconds//时间戳地位,精确到microseconds//pcap数据包结构体//捕获时间//数据帧/区的长度//离线数据长度//数据链路数据//源MAC地址//目的MAC地址//帧类型}DL_Header;//IP数据报头//版本+报头长度u_int8 TOS;
pcap文件格式
sakura0908的博客
05-18 1266
在通过使用wireshark工具抓取主机不同网段的数据包时,把抓到的数据包保存起来会发现生成的文件是.pcap文件,此篇博客主要介绍pcap文件的格式,并利用C语言的结构体知识来初窥探数据包数据。
TCP/IP协议数据包文件PCAP分析器
weixin_34208283的博客
08-13 167
一、设计原理 1.PCAP文件构成 参考http://blog.csdn.net/gulu_gulu_jp/article/details/50494909 PCAP文件由一个PCAP文件和多个PCAP数据包组成,PCAP数据又由数据包数据包内容组成。数据包内容才是我们将要进行分析还原的TCP/IP协议数据。PCAP总体结构如图 11所示: 图 11PCAP文件总...
pcap文件解析
hola_f的博客
06-15 8575
看了很久终于搞清楚怎么解析pcap文件啦~以前的一个版本是我把pcap包保存成.txt,删除冗余项,然后再依照格式读入,输出相应格式。后来,我发现其他同学都是用.pcap格式直接读入的,然后我就不懂了,直接读入的pcap文件格式应该是什么样子的?根据实战经验,应该就是网上各种教程解析的那种格式,根据那种格式按字节读入就可以啦!下面上代码: 这个是pcap.h 里面定义了pcap文件的主要结构体。
四招辨别TCPUDP协议!
LaoSiLin的博客
11-24 4099
一、协议 首先我们来明确何为协议,电脑里的协议就像我们身份证一样 比如一串身份证号码18位数字,我们一看就可以知道这串数字为身份证号码并且知道里面的规则,所以协议就是大家都认可并使用的规则,两台电脑要建立联系沟通就必须有一个事先约定好的协议,再比如一个中国人和一个美国人进行对话,他们首先要有相同的语言和相同的语法规则;再回到网络协议上来,在网络通信中有:TCP/IP协议、UDP协议通信协议、蓝牙协...
请用C语言实现指定网卡指定端口指定抓包数量并存到pcap文件的程序
06-08
好的,以下是一个简单的使用libpcap库实现指定网卡、指定端口、指定抓包数量并存储到pcap文件C语言程序: ```c #include <pcap.h> #include <stdio.h> #include <stdlib.h> #include <string.h> #include <netinet/in.h> #include <arpa/inet.h> #define SNAP_LEN 65535 #define SIZE_ETHERNET 14 #define SIZE_TCP 20 void packet_handler(u_char *args, const struct pcap_pkthdr *header, const u_char *packet); int main(int argc, char *argv[]) { char errbuf[PCAP_ERRBUF_SIZE]; pcap_t *handle; char *dev = argv[1]; // 网卡名 uint16_t port = atoi(argv[2]); // 端口号 int packet_count = atoi(argv[3]); // 抓包数量 char *pcap_file = argv[4]; // pcap文件名 bpf_u_int32 net = 0; bpf_u_int32 mask = 0; struct bpf_program fp; char filter_exp[100]; sprintf(filter_exp, "tcp port %d", port); // 获取网络号和掩码 if (pcap_lookupnet(dev, &net, &mask, errbuf) == -1) { fprintf(stderr, "Couldn't get netmask for device %s: %s\n", dev, errbuf); net = 0; mask = 0; } // 打开网络接口 handle = pcap_open_live(dev, SNAP_LEN, 1, 1000, errbuf); if (handle == NULL) { fprintf(stderr, "Couldn't open device %s: %s\n", dev, errbuf); exit(EXIT_FAILURE); } // 编译过滤器 if (pcap_compile(handle, &fp, filter_exp, 0, net) == -1) { fprintf(stderr, "Couldn't parse filter %s: %s\n", filter_exp, pcap_geterr(handle)); exit(EXIT_FAILURE); } // 设置过滤器 if (pcap_setfilter(handle, &fp) == -1) { fprintf(stderr, "Couldn't install filter %s: %s\n", filter_exp, pcap_geterr(handle)); exit(EXIT_FAILURE); } printf("Capturing packets on %s, port %d...\n", dev, port); // 打开pcap文件 pcap_dumper_t *dumper = pcap_dump_open(handle, pcap_file); if (dumper == NULL) { fprintf(stderr, "Couldn't open pcap file %s: %s\n", pcap_file, pcap_geterr(handle)); exit(EXIT_FAILURE); } // 开始抓包 pcap_loop(handle, packet_count, packet_handler, (u_char *)dumper); // 关闭pcap文件 pcap_dump_close(dumper); // 关闭网络接口 pcap_close(handle); printf("Done.\n"); return 0; } void packet_handler(u_char *args, const struct pcap_pkthdr *header, const u_char *packet) { static int packet_num = 0; pcap_dump(args, header, packet); printf("Packet %d captured.\n", ++packet_num); } ``` 程序使用方法:在命令行中输入`./program eth0 80 100 packets.pcap`,其中`eth0`为网卡名,`80`为端口号,`100`为抓包数量,`packets.pcap`为pcap文件名。程序将会抓取指定网卡上指定端口的指定数量的数据包,并将其存储到指定的pcap文件中。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值