pfring之学习——cap文件查看解析与步骤

最新推荐文章于 2023-05-18 16:47:43 发布
最新推荐文章于 2023-05-18 16:47:43 发布
阅读量1w 收藏 1
点赞数 1
分类专栏: PF_Ring学习笔记 文章标签: pfring cap包解析 pfring获取包内容 pcap_dump的数据解析
原文:http://hi.baidu.com/ah__fu/item/10400911b071c9041994ec3b
/*
引子:近期颓废得厉害。好多朋友向我要一个读取CAP文件的类,一方面工作繁忙,另一方面有空了就懒洋洋的不想动。
终于好好收拾了一下心情,把关于我知道的有关CAP文件的东东拿出来和朋友们分享。
*/

1、cap文件格式说明

    我所发现的情况是:windows下的ethereal和Linux下的tcpdump所抓的包为同样的CAP文件的格式,sniffer软件所抓的包文件扩展名也是.cap,但格式却不太一样。本文主要说明ethereal和tcpdump抓包产生的.cap文件的格式。

    其实,要获得PCAP文件的格式,除了直接打开.cap文件来分析外,可以看WinPcap包或Linux下/usr/include下的pcap.h头文件。pcap.h文件中不但提供了cap文件解析的各种结构体,还提供了解析函数。

    OK,先使用UE或WinHex打开.cap文件,开始分析其内容:
========================================================================
00000000h: D4 C3 B2 A1 02 00 04 00 00 00 00 00 00 00 00 00 ; 悦病............
00000010h: FF FF 00 00 01 00 00 00                         ; ......
========================================================================
    前面24个字节是.cap文件的文件头。
    头信息对应的结构体为:
struct pcap_file_header {
    bpf_u_int32 magic;
    u_short version_major;
    u_short version_minor;
    bpf_int32 thiszone;    /* gmt to local correction */
    bpf_u_int32 sigfigs;    /* accuracy of timestamps */
    bpf_u_int32 snaplen;    /* max length saved portion of each pkt */
    bpf_u_int32 linktype;    /* data link type (LINKTYPE_*) */
};

    cap文件中的linktype很重要,不同的网络环境下抓包,数据帧的帧头是不一样的。比如,在局域网内抓包,linktype为1 ( DLT_EN10MB, Ethernet (10Mb) ),以太网的帧头就是两个网卡物理地址;如果直接用ADSL拨号上线,则linktype为9 ( DLT_PPP, Point-to-point Protocol),数据帧头为PPP协议。
    关于linktype支持的类型,可以参考pcap-bpf.h中定义的以DLT_开头的宏。

    头信息后是顺序的每个数据段的信息,每个数据段中包含抓包时间、包类型等信息,然后是包的内容。
========================================================================
00000018h: F5 A4 9E 48 E5 A5 05 00 3E 00 00 00 3E 00 00 00 ; 酩濰濂..>...>...
00000028h: 00 13 C3 28 DC 00 00 E0 4D 60 61 0A 08 00 45 00 ; ..??.郙`a...E.
00000038h: 00 30 93 D0 40 00 80 06 2E 46 C0 A8 09 EA 3D 81 ; .0撔@.€..F括.??
00000048h: 30 9E 04 98 00 50 EB 1A 0A B7 00 00 00 00 70 02 ; 0??P?.?...p.
00000058h: FF FF 4F B4 00 00 02 04 05 B4 01 01 04 02       ; O?....?...
========================================================================
    以上一个数据段的内容。数据段的头对应的结构体为:
struct pcap_pkthdr {
    struct timeval ts;    /* time stamp */
    bpf_u_int32 caplen;    /* length of portion present */
    bpf_u_int32 len;    /* length this packet (off wire) */
};
    ts为抓包的时间;
    caplen和len我发现一般都是一样的。(什么情况下会不一样还没搞懂)

    16字节的数据段头之后就是包的信息了。例子中的包信息是局域网中抓的,所以是以太网帧头,结构体如下:
struct EthernetPacket
{
    char MacDst[6];             ///< 目的网卡物理地址
    char MacSrc[6];             ///< 源网卡物理地址
    unsigned short PacketType; ///< 包类型, ip或ARP等
};
    PacketType=0x0008是IP包,PacketType=0x0608是ARP包。

    OK,有了以上参考,按照偏移量读取cap文件的内容就易如反掌了。
/*
引子:近期颓废得厉害。好多朋友向我要一个读取CAP文件的类,一方面工作繁忙,另一方面有空了就懒洋洋的不想动。
终于好好收拾了一下心情,把关于我知道的有关CAP文件的东东拿出来和朋友们分享。
*/

    我所发现的情况是:windows下的ethereal和Linux下的tcpdump所抓的包为同样的CAP文件的格式,sniffer软件所抓的包文件扩展名也是.cap,但格式却不太一样。本文主要说明ethereal和tcpdump抓包产生的.cap文件的格式。

    其实,要获得PCAP文件的格式,除了直接打开.cap文件来分析外,可以看WinPcap包或Linux下/usr/include下的pcap.h头文件。pcap.h文件中不但提供了cap文件解析的各种结构体,还提供了解析函数。

    OK,先使用UE或WinHex打开.cap文件,开始分析其内容:
========================================================================
00000000h: D4 C3 B2 A1 02 00 04 00 00 00 00 00 00 00 00 00 ; 悦病............
00000010h: FF FF 00 00 01 00 00 00                         ; ......
========================================================================
    前面24个字节是.cap文件的文件头。
    头信息对应的结构体为:
struct pcap_file_header {
    bpf_u_int32 magic;
    u_short version_major;
    u_short version_minor;
    bpf_int32 thiszone;    /* gmt to local correction */
    bpf_u_int32 sigfigs;    /* accuracy of timestamps */
    bpf_u_int32 snaplen;    /* max length saved portion of each pkt */
    bpf_u_int32 linktype;    /* data link type (LINKTYPE_*) */
};

    cap文件中的linktype很重要,不同的网络环境下抓包,数据帧的帧头是不一样的。比如,在局域网内抓包,linktype为1 ( DLT_EN10MB, Ethernet (10Mb) ),以太网的帧头就是两个网卡物理地址;如果直接用ADSL拨号上线,则linktype为9 ( DLT_PPP, Point-to-point Protocol),数据帧头为PPP协议。
    关于linktype支持的类型,可以参考pcap-bpf.h中定义的以DLT_开头的宏。

    头信息后是顺序的每个数据段的信息,每个数据段中包含抓包时间、包类型等信息,然后是包的内容。
========================================================================
00000018h: F5 A4 9E 48 E5 A5 05 00 3E 00 00 00 3E 00 00 00 ; 酩濰濂..>...>...
00000028h: 00 13 C3 28 DC 00 00 E0 4D 60 61 0A 08 00 45 00 ; ..??.郙`a...E.
00000038h: 00 30 93 D0 40 00 80 06 2E 46 C0 A8 09 EA 3D 81 ; .0撔@.€..F括.??
00000048h: 30 9E 04 98 00 50 EB 1A 0A B7 00 00 00 00 70 02 ; 0??P?.?...p.
00000058h: FF FF 4F B4 00 00 02 04 05 B4 01 01 04 02       ; O?....?...
========================================================================
    以上一个数据段的内容。数据段的头对应的结构体为:
struct pcap_pkthdr {
    struct timeval ts;    /* time stamp */
    bpf_u_int32 caplen;    /* length of portion present */
    bpf_u_int32 len;    /* length this packet (off wire) */
};
    ts为抓包的时间;
    caplen和len我发现一般都是一样的。(什么情况下会不一样还没搞懂)

    16字节的数据段头之后就是包的信息了。例子中的包信息是局域网中抓的,所以是以太网帧头,结构体如下:
struct EthernetPacket
{
    char MacDst[6];             ///< 目的网卡物理地址
    char MacSrc[6];             ///< 源网卡物理地址
    unsigned short PacketType; ///< 包类型, ip或ARP等
};
    PacketType=0x0008是IP包,PacketType=0x0608是ARP包。

    OK,有了以上参考,按照偏移量读取cap文件的内容就易如反掌了。

  2、读取cap文件内容的步骤:

 1.跳过头文件,file_head_length = sizeof(struct pcap_file_header)
2.读取一个包,然后减去packet_head_length = hdr.extended_hdr.parsed_pkt.offset.payload_offset,所得到的数据就为包的实际内容
任薛纪
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CAP文件解析
10-30
在java中对.cap文件解析。前提需要一个JCDK的工具。在oracle官网中可以下载,搜索java card。我用的是:JCDK3.0.4_ClassicEdition。在bin中的scriptgen.bat中需要改动set JAVA_HOME=jdk的地址,我用1.6jdk的。然后在下面有%JAVA_HOME%也需要修改为:\bin\java。例子:"%JAVA_HOME%\bin\java" -Djc.home=%JC_CLASSIC_HOME% -classpath %JC_CLASSPATH% com.sun.javacard.scriptgen.Main %*。 在CMD也能运行,先到scriptgen.bat D:/XXX.cap 就可以了
cap文件格式解析
weixin_34406796的博客
04-26 2511
简介   cap为通过抓软件保存下来的数据文件,不同的抓软件保存下来的cap格式也有很大差异,从最开始的4个字节便可以看出,如下列出不同抓软件的cap文件前4字节的差异 #define CAP_SNIFFER_WINDOWS_200X "\x58\x43\x50\x00" //sniffer抓cap文件 #define PCAP_WIRESHARK_TC...
嗅探工具 --- wireshark、tcpdump、dsniff、ettercap、bettercap、netsniff-ng、cain
freeking101的博客
06-11 2万+
嗅探 --- wireshark、tcpdump、dsniff、Ettercap、netsniff-ng
手机查看pcap文件_手机如何查看图纸?只需三步轻松查看图纸,从此手机看图零压力!...
weixin_32287801的博客
01-01 1510
我们在绘制图纸或者打开图纸基本上都是在电脑上边进行的,如果在外边急需要查看图纸,手里没有带电脑也没带打印好的图纸该怎么办?其实特别简单,在手机上边就可以查看图纸。在手机上边如何打开dwg图纸文件呢?今天小编在此就教给大家一个办法,在手机上就可以免费查看dwg图纸文件,操作也非常的简单,可以兼容图纸文件个个格式,从此再也不必忘拿图纸而没法看图纸的烦恼了。需要工具:迅捷cad看图APP手机具体操作步骤...
网络安全--通过握手找回WiFi密码(详细教程)
热门推荐
懷淰メ的博客
07-30 4万+
本文实验使用CDLinux配合minidwep-gtk工具通过破解握手破解WiFi。本次实验只用于学习交流,攻击目标为自家的路由WiFi,请勿违法!ewsa破解版(全称ElcomsoftWirelessSecurityAuditor),它是来自俄罗斯的一款方便实用、拥有强大的无线网络wifi密码破解功能,而它工作原理就是利用密码词典去暴力破解无线AP上的WPA和WPA2密码。软件中的密码词典支持字母大小写、数字替代、符号顺序变换、缩写、元音替换等12种变量设定。最后送大家一个EWSA注册码。......
linux上查看cap文件,如何使用tcpdump在Mac OS X上读取.cap数据捕获文件 | MOS86
weixin_36066355的博客
04-29 3685
还可以执行数据跟踪或嗅探和捕获来自网络的数据,结果通常是创建一个。上限捕获文件。那个无论您使用何种嗅探网络,网络管理员和安全性专业人士中相当常见的任务,都会创建cap,pcap或wcap数据捕获文件。也许最简单的打开,阅读和解读的方法。cap文件在Mac或Linux机器上使用内置的tcpdump实用程序。假设您已经捕获了网络连接的数据跟踪,并使用a创建了捕获的数据文件。帽,。pcap或。...
cap数据文件解析
Why So Serious?
12-08 1万+
windows下的wireshark和Linux下的tcpdump所抓的为同样的CAP文件的格式,sniffer软件所抓的文件扩展名也是.cap,但格式却不太一样。本文主要说明ethereal和tcpdump产生的.cap文件的格式。     其实,要获得PCAP文件的格式,除了直接打开.cap文件来分析外,可以看WinPcap或Linux下/usr/include下的pcap.h
实验四:CTF实践
Dance_in_night的博客
11-28 458
CTF实践
Wireshark和TcpDump分析心得
ctknq的专栏
05-21 1509
Wireshark和TcpDump分析心得 分类: Network2010-12-14 20:19 3242人阅读 评论(5) 收藏 举报     1. Wireshark与tcpdump介绍  Wireshark是一个网络协议检测工具,支持Windows平台和Unix平台,我一般只在Windows平台下使用Wireshark,如果是Linux的话,我直接用tcpdump了,
cap文件 linux,linux抓为.cap格式肿么看
weixin_29688227的博客
04-28 1155
首选介绍一下tcpdump的常用参数tcpdump采用命令行方式,它的命令格式为:tcpdump [ -adeflnNOpqStvx ] [ -c 数量 ] [ -F 文件名 ][ -i 网络接口 ] [ -r 文件名] [ -s snaplen ][ -T 类型 ] [ -w 文件名 ] [表达式 ]1. tcpdump的选项介绍-a    将网络地址和广播地址转变成名字;-d    将匹配信息...
密码分析程序(CAP)
07-25
<br>如果你正在看或看过《经典密码学与现代密码学》这本书,就知道这本书中提到过的一个软件.这就是那个软件<br><br>作者:(美)Richard Spillman<br><br><br><br>你只有把经典密码学与现代密码学[1].part1.rar和经典密码学与现代密码学[1].part2.rar这两份rar文件合在一起才可以解压它.
c++实现对cap抓TCP、UDP文件解析
12-23
c++实现对cap抓TCP、UDP文件解析,可以用windump后直接解析。通过循环解析cap文件中每个的IP头的各部分含义、TCP/UDP头的含义。这些部分都储存在结构体中,如果需要统计,读者可自行编写统计规则。由于...
解析cap文件
09-03
解析cap
吞噬大数据存储领域新机制——NoSQL模式解析
03-02
这种存储解决方案与传统的RDBMS有显著的区别,它们被称之为NoSQL。在NoSQL世界中有以下关键的成员,括GoogleBigTable、HBase、HypertableAmazonDynamo、Voldemort、Cassendra、RiakRedisCouchDB、MongoDB。在过去...
cap文件解析API
02-20
工作需要编写的API,带参考例子。 有时也需要下载一些其他人的源码,所以用来赚点资源分。 如果有人急切想要但无资源分,请发邮件到[email protected]索取
c语言判断pcap文件结尾,PCAP文件扩展名 - 什么是.pcap以及如何打开? - ReviverSoft...
weixin_39615219的博客
05-26 281
你在这里因为你有,有一个文件扩展名结尾的​​文件.pcap.文件文件扩展名.pcap只能通过特定的应用程序推出。这有可能是.pcap文件数据文件,而不是文件或媒体,这意味着他们并不是在所有观看。什么是一&nbsp.pcap&nbsp文件?该.pcap文件扩展名主要使用Wireshark相关;用于分析网络的程序。 .pcap文件是使用程序创建的数据文件,并且它们含的...
网络安全——渗透综合实验
HizT_1999的博客
06-24 2156
综合实验: 任务一: 1.使用wireshark分析数据 通过对test1.cap的分析,可以看出192.168.1.3与192.168.1.4之间存在ftp服务。 2.使用ettercap进行嗅探,获取ftp登录信息 得到ftp服务登录账号:simple 密码:simple123 登录ftp服务器获取key.txt内容。同时还发现192.168.1.4存在WebLogic漏洞,使用 工具进行攻击。 3.weblogic攻击 查看key1.txt内容,提交答案如下: 任务二: 1.分析test
渗透测试--6.1.aircrack-ng破解wifi密码
我是个好人呀,????
05-18 7993
是一个完整的工具来评估Wi-Fi网络安全套件(ex.1)。
wirehark数据分析与取证misc1.pcap
Aluxian_的博客
11-04 2252
wiresharekwireshark--misc1.pcap数据
cap数据javs解析
最新发布
10-17
CAP数据是一种用于网络数据分析和调试的文件格式。它是由Wireshark和其他网络数据分析工具使用的常见格式之一。 对于Java开发人员来说,解析CAP数据可以帮助他们分析网络通信和调试网络问题。以下是解析CAP数据的一般步骤: 1. 安装Wireshark:Wireshark是一个流行的开源网络分析工具,可以用于解析CAP数据。首先,下载并安装Wireshark。 2. 打开CAP文件:打开Wireshark并导入CAP文件。选择“File”菜单中的“Open”选项,然后选择要打开的CAP文件。 3. 分析网络报文:Wireshark会将CAP数据解析为一系列的网络报文。每个报文都含了与网络通信相关的信息,如源IP地址、目标IP地址、发送和接收的数据等。通过仔细查看每个报文的详细信息,可以了解网络通信的细节和问题所在。 4. 过滤和搜索:Wireshark提供了强大的过滤和搜索功能,可以帮助你筛选和查找特定类型的报文。通过在过滤栏中输入条件,如源IP地址、目标IP地址、协议类型等,可以将报文集中在感兴趣的部分,并更快地定位问题。 5. 统计和图表:Wireshark还提供了一些统计和图表功能,可以帮助你更好地理解和分析网络通信。例如,你可以查看流量分布图表、协议分布图表等,以了解哪些协议和应用程序使用了最多的网络带宽。 通过解析CAP数据,Java开发人员可以更好地了解网络通信和调试网络问题。这对于排除网络故障、优化网络性能以及开发和测试网络应用程序都是非常有帮助的。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值