pcap包结构&SNI字段的解析

    pcap文件格式是常用的数据报存储格式，包括wireshark在内的主流抓包软件都可以生成这种格式的数据包。

    文件格式：

    Pcap文件头（24字节）+数据包头（wireshark增加的）+数据包（网络中抓取的）+……

1.pcap文件头结构

各字段说明：

Magic：4B：0×1A 2B 3C 4D:用来识别文件自己和字节顺序。0xa1b2c3d4用来表示按照原来的顺序读取，0xd4c3b2a1表示下面的字节都要交换顺序读取。一般，我们使用0xa1b2c3d4

Major：2B，0×02 00:当前文件主要的版本号

Minor：2B，0×04 00当前文件次要的版本号

ThisZone：4B 时区。GMT和本地时间的相差，用秒来表示。如果本地的时区是GMT，那么这个值就设置为0.这个值一般也设置为0 SigFigs：4B时间戳的精度；全零

SnapLen：4B最大的存储长度（该值设置所抓获的数据包的最大长度，如果所有数据包都要抓获，将该值设置为65535； 例如：想获取数据包的前64字节，可将该值设置为64）

LinkType：4B链路类型

结构体定义：

//pacp文件头结构体
struct pcap_file_header 
{
	u_int32_t magic;
	/* 0xa1b2c3d4 */
	u_int16_t version_major;
	/* magjor Version 2 */
	u_int16_t version_minor;
	/* magjor Version 4 */
	int32_t thiszone;
	/* gmt to local correction */
	u_int32_t sigfigs;
	/* accuracy of timestamps */
	u_int32_t snaplen;
	/* max length saved portion of each pkt */
	u_int32_t linktype;
	/* data link type (LINKTYPE_*) */
};

2.数据包头结构

各字段说明：

Timestamp：时间戳高位，精确到seconds（值是自从January 1, 1970 00:00:00 GMT以来的秒数来记）

Timestamp：时间戳低位，精确到microseconds （数据包被捕获时候的微秒（microseconds）数，是自ts-sec的偏移量）

Caplen：当前数据区的长度，即抓取到的数据帧长度，由此可以得到下一个数据帧的位置。

Len：离线数据长度：网络中实际数据帧的长度，一般不大于caplen，多数情况下和Caplen数值相等。

（例如，实际上有一个包长度是1500 bytes（Len=1500），但是因为在Global Header的snaplen=1300有限制，所以只能抓取这个包的前1300个字节，这个时候，Caplen = 1300 ）

 

Wireshark中的实际样子：

结构体定义：

//时间戳
struct time_val 
{
	int tv_sec;
	/* seconds 含义同 time_t 对象的值 */
	int tv_usec;
	/* and microseconds */
}
;
//pcap数据包头结构体
struct pcap_pkthdr 
{
	struct time_val ts;
	/* time stamp */
	u_int32_t caplen;
	/* length of portion present */
	u_int32_t len;
	/* length this packet (off wire) */
};

3.数据包

即 Packet（通常就是链路层的数据帧）具体内容，长度就是Caplen，这个长度的后面，就是当前PCAP文件中存放的下一个Packet数据包，也就 是说：PCAP文件里面并没有规定捕获的Packet数据包之间有什么间隔字符串，下一组数据在文件中的起始位置。我们需要靠第一个Packet包确定，以TLS数据包的client hello消息为例来分析结构。

数据帧头，即数据链路层的头部