pcap文件格式解读

最新推荐文章于 2024-01-11 21:07:45 发布
最新推荐文章于 2024-01-11 21:07:45 发布
阅读量1.5k 收藏 1
点赞数
分类专栏: 记录

pcap格式, 常用的文件格式, 采用tcpdump或者wireshark得到的文件格式.


pcap文件的组成如下:

 

Global Header

Packet Header

Packet Data

Packet Header

Packet Data

Packet Header

Packet Data

...


先用wireshark抓一个包,然后用ultraedit的十六进制模式打开该文件对照一下:

 

抓包后的界面如下 可以看到是一个tcp连接发起的syn包:

14个字节的mac层baotou

20个字节的ip包头

20个字节的tcp包头

外加

12个字节的tcp包头可选项

总共54+12 = 66个字节

 

然后用ultraedit打开对照看一下, pcap文件究竟是个什么乾坤:

 

第一部分是 Global Length

 

首先是4个字节的magic number, 这个主要是用来标识文件类型的

 

接着是major number, minor number, 文件格式的主次版本号, 因为是网络字节序,所以反过来读  0002, 0004, 也就是2.4

 

在下面就是包头中时间戳和 UTC时间的偏移量, 秒为单位,  这里是全0, 经常是全0,  包头中的时间戳加上该偏移量就是该包被抓到时的UTC时间.

 

紧接着的4个字节是时间戳的精度, 几乎是个扯淡的字段,所以这个字段一般就是 00 00 00 00

 

再下面4个字节是snap length, 也就是你抓包时截断的大小, 全抓一般是 65535,  也就是0xFFFF,网络字节序,表示为 FF FF 00 00

 

第二部分是Packet Header


最先的4个字节是网络类型 , 为 01 00 00 00 , 反过来 00 00 00 01, 也就是以太网,即在以太网上面抓到的包

下面8个字节分别是,该包的时间戳, 前面4个是 秒为单位, 后面4个是 纳秒为单位,同样是网络字节序

让我们来算算

1970.01.01 00:00:00.000000 +  0x4D032640秒 + 0x000A4223纳秒是多少

0x4D032640秒 = 1292052032秒 = 14954天  + 7小时 + 20分 + 32秒 

0x000A4223纳秒 = 672291纳秒

 

正好是 2010.12.11 15:20:32.672291 秒

 

bingo, 看来没错了!

 

下面的8个字节分别是 抓包字节数(4字节), 包原始字节数(4字节), 看来一点不漏的抓下来了.

0x42 = 4x16 + 2 = 64 + 2 = 66字节, 一点不差. 


补充:

magic_number

用于检测文件格式和字节序, magic number的原始数据为 0xA1B2C3D4, 如果读到的magic number被反转过,那么下面global header和packet header中的所有字段的值都是被反转过的, 在转换时就需要反转一下.

至于包的数据部分,原始是什么样就是什么样,没有边界对齐什么的.

 

network

1为以太网

6为令牌环网

10为FDDI

0为回环接口

xingxing_lyx
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
用代码模拟抓包手动生成一个pcap文件
weixin_42209881的博客
04-16 383
网上解析pcap文件的方法有人提供了一大堆,但是自己用代码生成一个pcap文件的方法,却几乎没人提过,我刚好要用到这块,就自己研究了一下。我用的是Java代码,C#代码也类似,也写过,这就不提供了,有需要的可以留言。用wireshark测试一下,也是没有问题的,完全可以识别出来,图中这些标识的地方,根据pcap的格式规范,也都是一一匹配的,然后再分享一个通过代码调用wireshark自动解析pcap文件的代码,可以把解析结果直接输出出来,至此就整个流程全部结束。
pcap文件格式(基础)
满天星辰
09-11 1042
文件头 24字节 数据报头1+ 数据报1 数据报头为16字节,后面紧跟数据报 数据报头2+ 数据报2 ...... 数据报头字段说明: Timestamp:时间戳高位,精确到seconds(值是自从January 1, 1970 00:00:00 GMT以来的秒数来记) Timestamp:时间戳低位,精确到microseconds (数据包被捕获时候的微秒(microseconds)数,是自ts-sec的偏移量) Caplen:当前数据区的长度,即抓取到的数据帧长度,由此可以得到...
wireshark:时间
OceanStar的博客
12-02 1万+
当数据包被捕获时,每个数据包在进入的时候都打上了时间戳。这些时间戳将被保持到捕获文件中,因此它们也将用于(以后分析)。 那么这些时间戳是从哪来的呢?在捕获过程中,wireshark从libpcap(npcap)库获取时间戳,而后者又从操作系统内核获取时间戳。如果捕获数据是从捕获文件加载的,wireshark会从这个文件获取时间戳。 内部构件 wireshark用来保存数据包时间戳 ...
pcap文件分析
weixin_50311553的博客
01-12 7858
pcap文件格式的解析
libpcap使用整理
qq_32038155的博客
09-07 3530
Libpcap是Packet Capture Libray的英文缩写,即数据包捕获函数库。该库提供的C函数接口用于捕捉经过指定网络接口的数据包,该接口应该是被设为混杂模式。这个在原始套接字中有提到。
Pcap 数据包捕获格式详解
人人都懂物联网
05-24 1万+
Pcap 是 Packet Capture 的英文缩写,是一种行业标准的网络数据包捕获格式。如果你是网络开发人员,那么通常会使用 Wireshark、Tcpdump 或 WinDump 等网络分析器捕获 TCP/IP 数据包,而抓包后存盘的文件格式就是 .pcap 文件。 文件格式 Pcap 文件格式是一种二进制格式,支持纳秒级精度的时间戳。虽然这种格式在不同的实现中有所不同,但是所有的 pcap 文件都具有如下图所示的一般结构。 全局报头 全局报头(Global Header)包含魔数(Magic nu
PCAP(packet capture)格式
RandyOliver's House
01-15 3182
packet capture格式详解
Pcap文件详解
辞树
11-29 1万+
pcap文件是常用的数据报存储格式,可以理解为就是一种文件格式,只不过面的数据是按照特定格式存储的,所以我们想要解析面的数据,也必须按照一定的格式。普通的记事本打开pcap文件显示的是,用安装了HEX-Editor插件的Notepad++打开,能够以16进制数据的格式显示,或者使用sublime打开以十六进制的格式显示。用wireshark这种抓包工具就可以正常打开这种文件,愉快地查看面的网络数据报了,同时wireshark也可以生成这种格式的文件。还有一些其他网络分析工具。
FRDM-K64F IEEE1588硬件时间戳测试
u011226925的博客
04-11 2336
开发板FRDMK64F用了三周了。 协议栈使用LWIP,无操作系统,要实现PTPv2的内容。 PTPv2的文档为IEEE 1588-2008,v1为IEEE 1588-2002,还有IEEE 802.1AS-2011。 通过飞思卡尔的官方库读取MAC中IEEE 1588的硬件时间戳。 发送时间戳的读取: 使用例子中的UDP协议发送SYNC数据包后,可以读出对应的时间戳,输出如下: Get the...
【libpcap】获取报文pcap的ns级别的时间
最新发布
xuan196的博客
01-11 572
首先,下载最新的 libpcap 源代码。你可以从 tcpdump.org 获取最新版本。-lpcap 指示编译器链接 libpcap 库。帮助获取网络报文ns级别的时间戳。
linux中的libpcap中捕获数据包的时间
starshift的专栏
12-16 2761
<br />以后转帖的文章都只贴链接和标题。<br /> <br />标题:linux中的libpcap中捕获数据包的时间戳<br />摘要:<br />      在pf_packet的man文档中有这样一句话:SIOCGSTAMP 用来接收最新收到的分组的时间戳,它的参数是 timeval 结构。接着查找有关SIOCGSTAMP的信息,在man(7)socket中发现了一句话:SIOCGSTAMP 返回 timeval 类型的结构,其中包括有发送给用户的最后一个包接收时的时间戳。被用来测量精确的 RTT
PCAP格式文件及解析说明
03-12
详细介绍了PCAP格式以及说明格式内容,对PCAP格式的文件进行了详细的说明
tcpdump/libpcap中捕获数据包的时间
04-12 1万+
tcpdump从libpcap获取time-stamp,libpcap从OS内核获取time stamp Q: When is a packet time-stamped? Howaccurate are the time stamps? Tcpdump gets time stamps from libpcap, andlibpcap gets them from the OS kernel
cap数据包文件解析
热门推荐
Why So Serious?
12-08 1万+
windows下的wireshark和Linux下的tcpdump所抓的包为同样的CAP文件的格式,sniffer软件所抓的包文件扩展名也是.cap,但格式却不太一样。本文主要说明ethereal和tcpdump抓包产生的.cap文件的格式。     其实,要获得PCAP文件的格式,除了直接打开.cap文件来分析外,可以看WinPcap包或Linux下/usr/include下的pcap.h
libpcap讲解与API接口函数讲解
eyucham的专栏
03-16 399
ibpcap(Packet Capture Library),即数据包捕获函数库,是Unix/Linux平台下的网络数据包捕获函数库。它是一个独立于系统的用户层包捕获的API接口,为底层网络监测提供了一个可移植的框架。 一、libpcap工作原理 libpcap主要由两部份组成:网络分接头(Network Tap)和数据过滤器(Packet Filter)。网络分接头从网络设备驱动程序中...
PE文件格式分析
dengdouweng1282的博客
07-01 1531
第一阶段:PE文件格式分析 使用UltraEdit观察PE文件例子程序hello-2.5.exe的16进制数据,在打印稿中画出该PE文件基本结构。 使用Ollydbg对该程序进行初步调试,了解该程序功能结构,在内存中观察该程序的完整结构。 熟悉各类PE文件格式查看和编辑工具(PEView、Stud_PE等)。 使用UltraEdit修改该程序,使得该程序仅弹出第二个对话框。 第二...
C语言解析pcap数据包格式
背着行囊去远方的博客
02-25 9764
通过tcpdump命令或者wireshark抓取数据包。 如下图所示: pcap文件格式: 24字节pcap文件头+(16字节pcap数据包头+数据包)*n 解析源码如下: #include<stdio.h> #include<string.h> #include<stdlib.h> #include<netinet/in.h> ...
pcap文件格式
sakura0908的博客
05-18 1339
在通过使用wireshark工具抓取主机不同网段的数据包时,把抓到的数据包保存起来会发现生成的文件是.pcap文件,此篇博客主要介绍pcap文件的格式,并利用C语言的结构体知识来初窥探数据包数据。
Pcap文件格式转rwp步骤
05-18
Pcap文件转换为RWP格式的步骤如下: 1. 安装Wireshark: Wireshark是一个流行的网络协议分析器,它可以读取和写入各种网络数据包格式,包括Pcap和RWP。 2. 打开Wireshark并加载Pcap文件:启动Wireshark后,使用“File”菜单中的“Open”选项加载Pcap文件。 3. 导出Pcap文件为RWP格式:使用“File”菜单中的“Export Packet Dissections”选项,选择“Remote Packet Capture”(RWP)格式并指定输出文件名。 4. 保存RWP文件:导出过程完成后,将生成一个RWP文件,包含了与Pcap文件相同的数据,但是以RWP格式存储。 以上是将Pcap文件转换为RWP格式的基本步骤。需要注意的是,在导出RWP文件时,可以选择将数据包过滤器应用于导出过程,以便只保存特定条件下的数据包。例如,可以只导出特定IP地址或端口的数据包。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值