pcap文件

最新推荐文章于 2024-04-10 09:22:24 发布
最新推荐文章于 2024-04-10 09:22:24 发布
阅读量772 收藏 1
点赞数
分类专栏: 一起学linux网络编程 文章标签: pcap
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wgwgnihao/article/details/45626377
版权

PCAP文件结构:


如上图所示在一个Pcap文件中存在1个Pcap文件头和多个数据包,其中每个数据包都有自己的头和包内容。
下面我们先看看PCAP文件头每个字段:
magic为文件识别头,pcap固定为:0xA1B2C3D4。(4个字节)

magor version为主版本号(2个字节)

minor version为次要版本号(2个字节)

timezone为当地的标准时间(4个字节)

sigflags为时间戳的精度(4个字节)

snaplen为最大的存储长度(4个字节)

linktype为链路类型(4个字节)

常用类型:
0            BSD loopback devices, except for later OpenBSD
1            Ethernet, and Linux loopback devices
6            802.5 Token Ring
7            ARCnet
8            SLIP
9            PPP
10           FDDI
100         LLC/SNAP-encapsulated ATM
101         “raw IP”, with no link
102         BSD/OS SLIP
103         BSD/OS PPP
104         Cisco HDLC
105         802.11
108         later OpenBSD loopback devices (with the AF_value in network byte order)
113         special Linux “cooked” capture
114         LocalTalk
数据包头则依次为:

时间戳(秒)、时间戳(微妙)、抓包长度和实际长度,依次各占4个字节。

构建代码:

#pragma pack( push, 1)
// 为了保证在windows和linux下都能正常编译,放弃使用INT64或者_int_64  
typedef short _Int16;  
typedef long  _Int32;  
typedef char Byte;  

struct __file_header  
{  
    _Int32  iMagic;  
    _Int16  iMaVersion;  
    _Int16  iMiVersion;  
    _Int32  iTimezone;  
    _Int32  iSigFlags;  
    _Int32  iSnapLen;  
    _Int32  iLinkType;  
};  
// 数据包头  
struct __pkthdr  
{  
    _Int32      iTimeSecond;  
    _Int32      iTimeSS;  
    _Int32      iPLength;  
    _Int32      iLength;  
};  
#pragma pack(pop)



会飞的幸运儿
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
java抓包后对pcap文件解析示例
09-04
Pcap文件是一种常见的抓包格式,它包含在网络中捕获的数据包信息。本示例将详细介绍如何使用Java解析pcap文件。 首先,我们需要理解Pcap文件的结构。Pcap文件由两部分组成:全局头部和数据包头部。全局头部提供了...
Pcap文件详解
辞树
11-29 1万+
pcap文件是常用的数据报存储格式,可以理解为就是一种文件格式,只不过里面的数据是按照特定格式存储的,所以我们想要解析里面的数据,也必须按照一定的格式。普通的记事本打开pcap文件显示的是,用安装了HEX-Editor插件的Notepad++打开,能够以16进制数据的格式显示,或者使用sublime打开以十六进制的格式显示。用wireshark这种抓包工具就可以正常打开这种文件,愉快地查看里面的网络数据报了,同时wireshark也可以生成这种格式的文件。还有一些其他网络分析工具。
pcap文件详解
热门推荐
天行健,君子以自强不息
04-27 10万+
一.简介 pcap文件是常用的数据报存储格式,可以理解为就是一种文件格式,只不过里面的数据是按照特定格式存储的,所以我们想要解析里面的数据,也必须按照一定的格式。普通的记事本打开pcap文件显示的是乱码,用安装了HEX-Editor插件的Notepad++打开,能够以16进制数据的格式显示,用wireshark这种抓包工具就可以正常打开这种文件,愉快地查看里面的网络数据报了,同时wiresh...
pcap文件解析(三)--拆分SCTP包
LeoY的专栏
01-15 9772
这一章,我们将了解SCTP数据包结构,并简要介绍SCTP协议,最后将带有多个chunk的SCTP包拆分问单个SCTP数据包。 SCTP数据包 数据包头 Eth信息 IP头 SCTP头 SCTP Chunk 1 …… SCTP Chunk n 其中数据包头
PCAP文件结构
genshengxiao的专栏
07-13 960
深度剖析WinPcap之(九)——数据包的发送过程(8)
理性的幻想
06-23 932
本文转自http://eslxf.blog.51cto.com/918801/214880   1.7.3    发送队列方式的接口实现 1.7.3.1             PacketSendPackets函数 函数发送数据包队列到网络,函数原型如下: INT PacketSendPackets(LPADAPTER AdapterObject, PVOID PacketB
python 抓包保存为pcap文件并解析的实例
09-19
Python在网络安全领域中被广泛用于数据包的抓取和分析,本实例主要讲解如何使用Python的Scapy库来抓包并保存为pcap文件,以及后续如何解析这些pcap文件。 首先,我们要导入必要的模块,包括`os`用于文件操作,以及...
使用PYTHON解析Wireshark的PCAP文件方法
09-19
使用Python解析PCAP文件,可以方便地对数据包进行进一步处理和分析。本文将详细介绍如何利用Python中的Scapy库来解析和操作PCAP文件。 首先,我们需要安装Scapy库。对于Python 3,推荐使用`scapy-python3`模块,...
原始pcap文件
10-07
《使用libpcap库过滤pcap文件中的数据包》文章中使用的原始输入文件
pytorch实现基于web的pcap文件恶意流量检测以及深度学习算法.zip
02-19
PCAP文件是网络数据包捕获的标准格式,常用于网络安全监控和分析。我们将深入研究如何处理这种类型的数据,构建有效的模型来识别潜在的网络威胁。 首先,理解PCAP文件至关重要。这些文件包含在网络接口上记录的原始...
SIPP_3.2_pcapplay_ossl_cygwin
11-30
cygwin编译的SIPP3.2,SIPP_3.2_pcapplay_ossl_cygwin模式 修改startterm.bat中的SET TERMINFO= 为安装包解压缩后的terminfo目录 直接运行即可使用 另附一个SIPP呼叫说明,一些基本的SIPP参数说明
java解析Pcap文件获取五元组(可执行)
07-13
java解析Pcap文件获取五元组(可运行)
Wireshark分割、合并pcap文件
hgr_com的博客
11-25 7704
Wireshark分割、合并pcap文件 1、分割pcap文件 (1)File->Export Specified Packets(导出特定分组): (2)根据需要保存分组: Captured:pcap文件中的所有报文 Displayed:当前显示的所有报文(比如使用了过滤条件,则Displayed指的就是过滤后得到的报文) All packet:导出所有报文 Selected packet:导出被选中的所有报文 Range:导出指定序号范围内的所有报文 2、合并两个pcap文件 (1)Fil
解析pcap文件,逐步认识tcp/ip协议栈
保持敏锐,保持进化。
07-10 5620
通过解析pcap初步认识协议栈
PCAP详解
qq_61636702的博客
04-10 3083
即 Packet(通常就是链路层的数据帧去掉前面用于同步和标识帧开始的8字节和最后用于CRC校验的4字节)具体内容,长度就是Caplen,这个长度的 后面,就是当前PCAP文件中存放的下一个Packet数据包,也就是说:PCAP文件里面并没有规定捕获的Packet数据包之间有什么间隔字符串,我 们需要靠第一个Packet包确定下一组数据在文件中的起始位置,向后以此类推。4字节 保存下来的包长度(最多是snaplen,比如68字节),即抓取到的数据帧长度,由此可以得到下一个数据帧的位置。4B 时间戳的精度;
流影之PCAP证据留存
开源流影项目的博客
07-07 448
PCAP数据记录了完整网络通信信息,是网络行为分析的最原始和直接的证据。流影系统集成了网络流量PCAP留存功能,流影并没有选择全流量留存,而是针对可疑网络行为流量进行了捕获留存,避免探针的大量资源消耗和性能损失。流影的可视化界面中,对告警事件的PCAP数据进行了解析展示,便于用户从直接的数据证据中发现威胁,让用户更容易看清和看懂网络通信中异常行为。
wireshark所抓的PCAP包的分割与合并
无人机飞啊飞啊飞
10-26 6047
进入wireshark的目录下,然后1. 按文件大小分割dumpcap.exe -i \Device\NPF_{845F9D1E-8F0B-4991-9F9A-C55D107A046B}(网卡接口) -w d:\000\ddd.pcap(保存目录和文件名) -b filesize:50000(每个文件大小)2. 按包的数目分割editcap -c 6000(包数目) 源目录 分割目录3. 按时间分割
pcap文件格式
sakura0908的博客
05-18 1405
在通过使用wireshark工具抓取主机不同网段的数据包时,把抓到的数据包保存起来会发现生成的文件是.pcap文件,此篇博客主要介绍pcap文件的格式,并利用C语言的结构体知识来初窥探数据包数据。
使用tshark 和 shell脚本分析 DNS pcap
lepton126的专栏
06-06 4567
使用tshark 和 shell脚本分析 DNS pcap包1、使用tshark过滤dns cap包中源ip、目的ip、request请求tshark -r test.cap -T fields -e frame.time -e ip.src -e ip.dst -e dns.qry.name -R 'udp.dstport==53 || dns'2、编写shell脚本,在指定目录下对一批pcap...
pcap文件解析工具
最新发布
07-10
解析pcap文件的工具有很多,常见的包括: 1. Wireshark:这是一个免费且开源的网络分析工具,支持广泛的协议解析,可以打开并详细查看pcap文件中的每个数据包,包括源地址、目标地址、协议类型等信息。 2. tshark...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

会飞的幸运儿

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值