Pcap文件格式解析

最新推荐文章于 2022-10-18 22:11:48 发布
最新推荐文章于 2022-10-18 22:11:48 发布
阅读量960 收藏 1
点赞数 1
分类专栏: Pcap
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42341819/article/details/103763363
版权

一、24字节pcap文件头(一个文件只有一个),linktype为链路层类型,决定数据帧头结构,其他没啥用

	typedef struct PcapFileHeader
	{
		unsigned long magic;       /* 0xa1b2c3d4 */
		unsigned short version_major;   /* magjor Version 2 */
		unsigned short version_minor;   /* magjor Version 4 */
		unsigned long thiszone;      /* gmt to local correction */
		unsigned long sigfigs;     /* accuracy of timestamps */
		unsigned long snaplen;     /* max length saved portion of each pkt */
		unsigned long linktype;    /* data link type (LINKTYPE_*) */
	}PcapFileHeader_t;

二、Pcap包头(一个文件可以有很多个包),

	//时间戳
	typedef struct PcapTime_val
	{
		long tv_sec;         /* seconds 含义同 time_t 对象的值 */
		long tv_usec;        /* and microseconds */
	}PcapTime_val_t;
	//pcap数据包头结构体
	typedef struct PcapPackageHeader
	{
		struct PcapTime_val ts;  /* time stamp */
		unsigned long caplen; /* length of portion present *///标识所抓获的数据包保存在pcap文件中的实际长度,以字节为单位
		unsigned long len;    /* length this packet (off wire) *///所抓获的数据包的真实长度,如果文件中保存不是完整的数据包,那么这个值可能要比前面的数据包长度的值大
	}PcapPackageHeader_t;

三、数据帧头

链路层决定结构(看客自己找吧,本人遇到的那一种就不说了),内有Protocal记录IPv4或IPv6

四、IPv4数据报头,Protocal记录为TCP还是UDP或其他

	typedef struct PcapIPv4Header	//20字节
	{ //IP数据报头
		unsigned char Ver_HLen;       //版本+报头长度
		unsigned char TOS;            //服务类型
		unsigned short TotalLen;       //总长度
		unsigned short ID; //标识
		unsigned short Flag_Segment;   //标志+片偏移
		unsigned char TTL;            //生存周期
		unsigned char Protocol;       //协议类型
		unsigned short Checksum;       //头部校验和
		unsigned long SrcIP; //源IP地址
		unsigned long DstIP; //目的IP地址
	}PcapIPv4Header_t;

IPv6数据报头

	typedef struct PcapIPv6Header	//40字节
	{ 
		unsigned long FlowLabel;
		unsigned short PayloadLength;
		unsigned char NextHeader;
		unsigned char HopLimit;
		unsigned char Source[16];
		unsigned char Destination[16];
	}PcapIPv6Header_t;

五、常用协议头,TCP头为公有部分,后面还有可选项部分,需要通过IP头的报头长度与公有部分长度计算

	//TCP数据报头
	typedef struct PcapTCP_PublicHeader
	{ //TCP数据报头
		unsigned short SrcPort; //源端口
		unsigned short DstPort; //目的端口
		unsigned long SeqNO; //序号
		unsigned long AckNO; //确认号
		unsigned char HeaderLen; //数据报头的长度(4 bit) + 保留(4 bit)
		unsigned char Flags; //标识TCP不同的控制消息
		unsigned short Window; //窗口大小
		unsigned short Checksum; //校验和
		unsigned short UrgentPointer;  //紧急指针
	}PcapTCP_PublicHeader_t;
	//UDP数据头
	typedef struct PcapUDPHeader
	{
		unsigned short SrcPort;     // 源端口号16bit
		unsigned short DstPort;    // 目的端口号16bit
		unsigned short len;        // 数据包长度16bit
		unsigned short checkSum;   // 校验和16bit
	}PcapUDPHeader_t;
	//ICMP数据头
	typedef struct PcapICMPHeader
	{
		unsigned char type;			//类型8位
		unsigned char code;			//代码8位
		unsigned short checkSum;	//校验和16bit
	}PcapICMPHeader_t;

六、以上为所有头结构,后面部分为payload,Pcap包头记录的长度与头长度计算可得到

参考:1、网络资料一些整理,不单我说很多资料有问题

           2、使用Wireshark解析实验验证

2h0u 2h1 we1
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
pcap4j 实现本地抓包以及解析DNS
09-10
前段时间搞抓包程序,使用Pcap4J实现,简单写了一个demo小程序,有需要的下。
tcpdump
weixin_30700977的博客
05-01 277
Linux 报文捕获及分析、服务开启状态分析 抓包工具、分析工具 tcpdump,libpcap(winpcap) wireshark tshark snort(Nids)入侵检测 sniffer 商业 扫描器 nmap snort(NIDS...
一个数据包大小是多少k_可视化数据包分析工具-CapAnalysis应用
weixin_39769807的博客
12-04 658
我们知道Xplico是一个从pcap文件中解析出IP流量数据的工具,本文介绍又一款实用工具—CapAnalysis(可视化数据包分析工具),将比Xplico更加细致的分析功能,先别着急安装,下面我们首先了解Pcap包的基本结构,然后告诉你如何使用。1.PCAP结构以太网中的数据是由数据链路层负责封装,网络层传输的数据包都被加上尾成为可以被数据链路层识别的数据。虽然尾所用的字节数...
【JAVA】利用pcap4j实现网络数据抓取并转储
law_porcelain的博客
08-17 1137
利用pcap4j实现网络数据抓取并转储
java pcap4j http_使用pcap4j进行抓包
weixin_42105816的博客
02-13 1265
Troubleshooting是我平时工作中的重要内容,我几乎每天都会花一些时间在定位客户环境的问题上,有很多的问题都需要通过抓包来协助分析,比如定位SSL handshake失败,SNMP请求没响应的问题等。Linux平台一般使用tcpdump抓包,由于我们只能通过远程脚本调用的方式执行,所以对windows我没法使用wireshark之类的GUI工具,所以一般用netsh( 参考资料3)进行抓...
pcap4j 实现java 抓包及DNS解析
lw0328的专栏
09-10 7163
目前java实现解析pcap格式的三方库很多,如jnetpcap、jpcappcap4j,但是jnetpcap和jpcap已经很久没有更新了,而且jnetpcap的跨平台表现不是很好,在Linux系统上在很多问题,我这边是获取不到网卡信息(root方式启动)。 综合考虑下来决定采用pcap4j,pcap4j 目前支持DNS、SNMP,以及传输层TCP,UDP,ICMP等协议,但...
网络安全系列-十九:使用Pcap4J读取pcap包内容并转换为hex显示
penriver的博客
04-26 1865
Pcap4J是一个用于捕获、生成和发送数据包的Java库。 Pcap4J通过JNA封装了一个本地包捕获库(libpcap、WinPcap或Npcap),并为您提供了面向java的api。 本文基于Pcap4J读取pcap包内容,并把二进制的packet转换为byte,hex,ascii形式,转换结果与wireshark一致
java抓包后对pcap文件解析示例
09-04
主要介绍了java抓包后对pcap文件解析示例,需要的朋友可以参考下
python 抓包保存为pcap文件并解析的实例
09-19
今天小编就为大家分享一篇python 抓包保存为pcap文件并解析的实例,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
PCAP文件的解析软件
07-12
具备WIRESHARK的大部分功能,主要是指针的偏移来完成的。对初学者有一定的帮助。
hspcap_流量监控_pcap4j解析http_pcap4j解析ssh_pcap4j_
09-29
使用pcap4j 进行 流量数据捕获,流量包解析
c#实现pcap格式解包
12-18
c# 实现pcap格式解析,方便Wireshark抓包后数据的分析,实现了TCP与UDP的解包
gopcap:为人类解析 .pcap 文件
07-14
Pcap 是标准的开源数据包捕获格式,由 C 库定义。 例子 gopcap API 非常简单: pcapfile, _ := os.Open("file.cap") parsed, err := gopcap.Parse(pcapfile) 有关更多示例,请参阅 API 文档。 特征 完全同步的 ...
Pcap4J抓包
weixin_43480441的博客
10-18 1040
java中使用Pcap4J抓包学习使用pacp4j 必须要先安装环境依赖WinPcap 或者 libPcap 根据你的使用环境选择。
JNetCap/Pcap4j 带你快速实现java抓包器
ONE PIECE——伟大航道
05-29 4041
JNetCap/Pcap4j 带你快速实现java抓包器JNetCapPcap4j 老大说用java搞一个抓包器试试。ok,咔咔那就干: 首先,自己从底层开始写肯定不现实,然后就是一顿搜,了解到了libpcap,libpcap是个啥呢,看一看简介: Libpcap: 是 unix/linux 平台下的网络数据包捕获函数包,大多数网络监控软件都以它为基础。Libpcap 提供了系统独立的用户级别网络数据包捕获接口,并充分考虑到应用程序的可移植性。 Libpcap 在windows系统下有另外一个名字:w
Pcap4J抓包基本使用方法
热门推荐
alexsjr的博客
01-14 1万+
Pcap4J抓包基本使用方法说明:使用:第一步:第二步:抓包:例子的一些扩展:抓包后处理:Pcap4J内置支持的协议报文类型TIPS: 说明: 之前的项目需要一个Windows和Linux平台都能用的抓包模块,搜了之后发现jnetpcap、jpcap都已经很久没有更代码了,而且跨平台支持不好,所以考虑用Pcap4J。 Pcap4J和jNetPcap相同之处,都是基于libpcap/winpcap的...
局域网内扫描设备的简单Java实现
燕归来兮
09-09 5372
个人博客原文链接 更多文章欢迎访问个人博客站点   在产品的使用中我们一般都要设置一个配置环节,这个环节可以设定主机的IP地址等信息,但是这样配置的话使得我们的产品用起来效果不是很好,因此我想到了实现局域网IP扫描的功能,IP局域网扫描是指定IP网段获取IP地址信息的方法,在加上PING命令来处理实现,检查该设备是否在线。   代码很简单,主要浏览就是获取主机名,然后检查该设备是否可用,如...
pcap4j编写内网扫描器
geqiandeyu07的博客
08-09 1061
一、功能 网存活主机扫描 二、执行结果 2.1和nmap执行结果对比 eclipse 内扫描执行结果: 使用nmap扫描执行结果: 三、实现原理 参考nmap 不同网段:nmap在扫描主机时先arp包解析到网关mac地址,然后发了ping包,icmp timestamp包,http ack包,和https syn包四种探测包。 同一网段:则只发送了arp包,解析到地址的ip则判定主机存活。 四、实现过程 选用开源框架pcap4j,...
springboot(酒店管理系统)
最新发布
04-25
开发语言:Java JDK版本:JDK1.8(或11) 服务器:tomcat 数据库:mysql 5.6/5.7(或8.0) 数据库工具:Navicat 开发软件:idea 依赖管理包:Maven 代码+数据库保证完整可用,可提供远程调试并指导运行服务(额外付费)~ 如果对系统的中的某些部分感到不合适可提供修改服务,比如题目、界面、功能等等... 声明: 1.项目已经调试过,完美运行 2.需要远程帮忙部署项目,需要额外付费 3.本项目有演示视频,如果需要观看,请联系我 4.调试过程中可帮忙安装IDEA,eclipse,MySQL,JDK,Tomcat等软件 重点: 需要其他Java源码联系我,更多源码任你选,你想要的源码我都有! 需要加v19306446185
wireshark pcap文件解析
08-26
Wireshark是一个流行的网络协议分析工具,它允许用户捕获和分析网络数据包PCAP文件是Wireshark使用的一种数据格式,用于存储捕获到的网络数据包PCAP文件格式具体说明了文件的结构和存储方式,以便于其他工具或程序能够正确地解析和处理这些文件。 PCAP文件由全局文件(Global Header)和数据包(Packet Header)组成。全局文件记录了文件的版本信息、网络接口类型等元数据。每个数据包都由数据包数据包负载组成。数据包包含了数据包的时间戳、数据包长度等信息。 要解析PCAP文件,可以借助Wireshark软件本身或者使用编程语言中的相关库,如libpcap或WinPcap。在Java程序中,可以使用WireShark库进行解析,并在后台查看PCAP包的内容。 PCAP文件解析的过程包括读取PCAP文件的全局文件,然后逐个读取数据包数据包负载,以提取所需的信息。例如,可以通过解析数据包中的时间戳和源/目的IP地址来分析网络流量的来源和目标。 总结起来,Wireshark可以使用PCAP文件解析网络数据包PCAP文件的结构和格式可以通过参考了解。在Java程序中,可以使用WireShark库进行解析,并在后台查看PCAP包的内容。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* [Wireshark文件pcap的格式详细解析有实例(Global Header、Packet Header)](https://blog.csdn.net/Hollake/article/details/90108950)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] - *3* [借助WireShark解析PCAP包](https://blog.csdn.net/q35222806/article/details/78817811)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值