网络抓包数据文件(.pcap/.cap)解析工具(Java实现)

最新推荐文章于 2024-06-16 16:19:59 发布
最新推荐文章于 2024-06-16 16:19:59 发布
阅读量7.2k 收藏 23
点赞数 2
分类专栏: Java基础 文章标签: java 报文数据 通信 pcap cap
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zzj_csdn/article/details/120515426
版权

前言

pcap/.cap文件是常用的数据报存储格式文件,数据按照特定格式存储,普通编辑器无法正常打开该类型文件,使用Ultra Edit编辑器能够以16进制的格式查看数据,无法直观查看数据重要信息。需要特定的解析工具软件读取查看如WiresharkPortable或Microsoft Network Monitor等。


问题

然而一些开发任务需要数据文件(.pcap/.cap)某项信息进行后续处理,无法使用软件获取信息输入到程序中,对开发任务带来一些困难。


解决

引入pcap4j库,该库通过网络接口捕获数据包并将它们转换为 Java 对象。可以通过从数据包转换而来的 Java 对象来获取/设置数据包头的每个字段。您还可以从头开始制作数据包对象。pcap4j还具有更强大的功能,有兴趣可关注微信公众号:Java烂笔头,回复:pcap4j-1,查看完整源码及说明。


示例代码

maven 依赖

<dependencies>
    <dependency>
      <groupId>org.pcap4j</groupId>
      <artifactId>pcap4j-core</artifactId>
      <version>1.8.2</version>
    </dependency>
    <dependency>
      <groupId>org.pcap4j</groupId>
      <artifactId>pcap4j-packetfactory-static</artifactId>
      <version>1.8.2</version>
    </dependency>
  </dependencies>
package org.pcap4j.sample;
import java.io.EOFException;
import java.util.concurrent.TimeoutException;
import org.pcap4j.core.NotOpenException;
import org.pcap4j.core.PcapHandle;
import org.pcap4j.core.PcapHandle.TimestampPrecision;
import org.pcap4j.core.PcapNativeException;
import org.pcap4j.core.Pcaps;
import org.pcap4j.packet.Packet;

@SuppressWarnings("javadoc")
public class ReadPacketFile {

  private static final int COUNT = 5;

  private static final String PCAP_FILE_KEY = ReadPacketFile.class.getName() + ".pcapFile";
  private static final String PCAP_FILE =
      System.getProperty(PCAP_FILE_KEY, "src/main/resources/echoAndEchoReply.pcap");

  private ReadPacketFile() {}

  public static void main(String[] args) throws PcapNativeException, NotOpenException {
    PcapHandle handle;
    try {
      handle = Pcaps.openOffline(PCAP_FILE, TimestampPrecision.NANO);
    } catch (PcapNativeException e) {
      handle = Pcaps.openOffline(PCAP_FILE);
    }

    for (int i = 0; i < COUNT; i++) {
      try {
        Packet packet = handle.getNextPacketEx();
        System.out.println(handle.getTimestamp());
        System.out.println(packet);
      } catch (TimeoutException e) {
      } catch (EOFException e) {
        System.out.println("EOF");
        break;
      }
    }

    handle.close();
  }
}

2012-09-12 13:27:27.609228
[Ethernet Header (14 bytes)]
  Destination address: 00:01:8e:f9:a7:60
  Source address: 04:7d:7b:4c:2f:0a
  Type: 0x0800 (IPv4)
[IPv4 Header (20 bytes)]
  Version: 4 (IPv4)
  IHL: 5 (20 [bytes])
  TOS: [precedence: 0 (Routine)] [tos: 0 (Default)] [mbz: 0]
  Total length: 60 [bytes]
  Identification: 18814
  Flags: (Reserved, Don't Fragment, More Fragment) = (false, false, false)
  Fragment offset: 0 (0 [bytes])
  TTL: 128
  Protocol: 1 (ICMPv4)
  Header checksum: 0x0000
  Source address: /192.168.2.101
  Destination address: /192.168.2.1
[ICMPv4 Common Header (4 bytes)]
  Type: 8 (Echo)
  Code: 0 (No Code)
  Checksum: 0x4c5b
[ICMPv4 Echo Header (4 bytes)]
  Identifier: 256
  SequenceNumber: 1
[data (32 bytes)]
  Hex stream: 61 62 63 64 65 66 67 68 69 6a 6b 6c 6d 6e 6f 70 71 72 73 74 75 76 77 61 62 63 64 65 66 67 68 69

2012-09-12 13:27:27.609965
[Ethernet Header (14 bytes)]
  Destination address: 04:7d:7b:4c:2f:0a
  Source address: 00:01:8e:f9:a7:60
  Type: 0x0800 (IPv4)
[IPv4 Header (20 bytes)]
  Version: 4 (IPv4)
  IHL: 5 (20 [bytes])
  TOS: [precedence: 0 (Routine)] [tos: 0 (Default)] [mbz: 0]
  Total length: 60 [bytes]
  Identification: 30935
  Flags: (Reserved, Don't Fragment, More Fragment) = (false, false, false)
  Fragment offset: 0 (0 [bytes])
  TTL: 64
  Protocol: 1 (ICMPv4)
  Header checksum: 0x7c33
  Source address: /192.168.2.1
  Destination address: /192.168.2.101
[ICMPv4 Common Header (4 bytes)]
  Type: 0 (Echo Reply)
  Code: 0 (No Code)
  Checksum: 0x545b
[ICMPv4 Echo Reply Header (4 bytes)]
  Identifier: 256
  SequenceNumber: 1
[data (32 bytes)]
  Hex stream: 61 62 63 64 65 66 67 68 69 6a 6b 6c 6d 6e 6f 70 71 72 73 74 75 76 77 61 62 63 64 65 66 67 68 69

2012-09-12 13:27:28.611932
[Ethernet Header (14 bytes)]
  Destination address: 00:01:8e:f9:a7:60
  Source address: 04:7d:7b:4c:2f:0a
  Type: 0x0800 (IPv4)
[IPv4 Header (20 bytes)]
  Version: 4 (IPv4)
  IHL: 5 (20 [bytes])
  TOS: [precedence: 0 (Routine)] [tos: 0 (Default)] [mbz: 0]
  Total length: 60 [bytes]
  Identification: 18815
  Flags: (Reserved, Don't Fragment, More Fragment) = (false, false, false)
  Fragment offset: 0 (0 [bytes])
  TTL: 128
  Protocol: 1 (ICMPv4)
  Header checksum: 0x0000
  Source address: /192.168.2.101
  Destination address: /192.168.2.1
[ICMPv4 Common Header (4 bytes)]
  Type: 8 (Echo)
  Code: 0 (No Code)
  Checksum: 0x4c5a
[ICMPv4 Echo Header (4 bytes)]
  Identifier: 256
  SequenceNumber: 2
[data (32 bytes)]
  Hex stream: 61 62 63 64 65 66 67 68 69 6a 6b 6c 6d 6e 6f 70 71 72 73 74 75 76 77 61 62 63 64 65 66 67 68 69

2012-09-12 13:27:28.61251
[Ethernet Header (14 bytes)]
  Destination address: 04:7d:7b:4c:2f:0a
  Source address: 00:01:8e:f9:a7:60
  Type: 0x0800 (IPv4)
[IPv4 Header (20 bytes)]
  Version: 4 (IPv4)
  IHL: 5 (20 [bytes])
  TOS: [precedence: 0 (Routine)] [tos: 0 (Default)] [mbz: 0]
  Total length: 60 [bytes]
  Identification: 30936
  Flags: (Reserved, Don't Fragment, More Fragment) = (false, false, false)
  Fragment offset: 0 (0 [bytes])
  TTL: 64
  Protocol: 1 (ICMPv4)
  Header checksum: 0x7c32
  Source address: /192.168.2.1
  Destination address: /192.168.2.101
[ICMPv4 Common Header (4 bytes)]
  Type: 0 (Echo Reply)
  Code: 0 (No Code)
  Checksum: 0x545a
[ICMPv4 Echo Reply Header (4 bytes)]
  Identifier: 256
  SequenceNumber: 2
[data (32 bytes)]
  Hex stream: 61 62 63 64 65 66 67 68 69 6a 6b 6c 6d 6e 6f 70 71 72 73 74 75 76 77 61 62 63 64 65 66 67 68 69

2012-09-12 13:27:29.611909
[Ethernet Header (14 bytes)]
  Destination address: 00:01:8e:f9:a7:60
  Source address: 04:7d:7b:4c:2f:0a
  Type: 0x0800 (IPv4)
[IPv4 Header (20 bytes)]
  Version: 4 (IPv4)
  IHL: 5 (20 [bytes])
  TOS: [precedence: 0 (Routine)] [tos: 0 (Default)] [mbz: 0]
  Total length: 60 [bytes]
  Identification: 18816
  Flags: (Reserved, Don't Fragment, More Fragment) = (false, false, false)
  Fragment offset: 0 (0 [bytes])
  TTL: 128
  Protocol: 1 (ICMPv4)
  Header checksum: 0x0000
  Source address: /192.168.2.101
  Destination address: /192.168.2.1
[ICMPv4 Common Header (4 bytes)]
  Type: 8 (Echo)
  Code: 0 (No Code)
  Checksum: 0x4c59
[ICMPv4 Echo Header (4 bytes)]
  Identifier: 256
  SequenceNumber: 3
[data (32 bytes)]
  Hex stream: 61 62 63 64 65 66 67 68 69 6a 6b 6c 6d 6e 6f 70 71 72 73 74 75 76 77 61 62 63 64 65 66 67 68 69

完整源码

示例源码关注微信公众号:Java烂笔头,回复:pcap4j

应用场景

需求:当数据块比较大时,数据块会被压缩,当需要通过抓包来查看数据包内容时,无法直接通过软件查看。给实际工程问题排查带来不便,需要开发一个工具,判断数据是否被压缩,如果压缩进行解压。
               功能:解析报文,报文协议如下:提取出压缩的报文,并解压其中的数据,输出解压后的二进制数据。
                输入:抓取的设备的报文文件。
                输出:将解压的二进制数据输出。
                        格式:
                                时间:
                                源ip:
                                宿ip:
                                数据:

思路:通过pcap4j解析库可以直接读取每条数据的时间、源地址、宿地址、十六进制数据,其次通过Microsoft Network Monitor软件查看报文数据,找出表示是否压缩的十六进制数据位,找出每条数据的表示压缩位的位置规律,将该位转为二进制的最后一位表示是否压缩,1表示压缩,0表示未压缩。然后将压缩的数据转为二进制输出即可。

 

此处源码不便展示,如果需要可关注并私信微信公众号:Java烂笔头

 

Java烂笔头any
关注
  • 2
    点赞
  • 23
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
java 生成.pcap_java抓包后对pcap文件解析示例
weixin_35589827的博客
03-07 883
这是自己写的简单的解析pcap文件,方便读取pcap文件,大家参考使用吧复制代码 代码如下:InputStream is = DataParser.class.getClassLoader().getResourceAsStream("baidu_cdr.pcap");Pcap pcap = PcapParser.unpack(is);is.close();byte[] t = pcap.getD...
Java 解析Pcap文件(1)
qq_41512783的博客
03-11 3413
Java 解析Pcap文件(1) @author:Jingdai @date:2021.03.11 由于毕业实验是关于TLS流量分析的,所以最近学习了一下Pcap文件解析,现记录一下。 Pcap文件结构 如果所示,Pcap文件由一个Global Header后面接着若干组Packet Header 和 Packet Data 组成。 先看一下 Global Header 的结构,它由 24B 组成,字段按照Pcap文件的顺序列出。 magic,占4B,如果它的值是0xa1b2c3d4,代表 Pc
python 抓包保存为pcap文件解析的实例
09-19
今天小编就为大家分享一篇python 抓包保存为pcap文件解析的实例,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
Java抓包分析四(基于jnetpcap进行抓包)——分析Http请求数据
歪桃的博客
09-12 1万+
基于jnetpcap解析http数据
Pyshark——安装、解析pcap文件
最新发布
计算机硕士的博客
06-16 775
Pyshark——安装、解析pcap文件
Java抓包分析一(基于jnetpcap进行抓包)——抓包环境搭建,获取网卡
歪桃的博客
09-03 1万+
基于jnetpcap进行抓包环境以及开发环境的搭建
Network学习6_JavaPcap文件解析(一:Pcap格式分析)
wang_zhenwei的博客
08-23 1751
前言 需求 本系列文章主要完成以下功能:  1. 对Pcap文件进行解析,并从中提取TCP和UDP会话  2. 从TCP会话中提取出其数据负载信息 软件最终结果 [主界面]    [File 菜单]    [Help 的 About 菜单项,版权声明]    [选择Pcap文件]    [选择输出目录]    [正在解析]    [解析测试1:对
借助WireShark解析PCAP
阿霖
12-16 9967
本文主要分为以下几点: 1.什么是pcap包? 2.pcap包内容如何查看? 3.在java程序中借助WireShark进行解析,在后台查看 目录 [toc]1.什么是pcap包 什么是pcap抓包 PCAP是一个数据包抓取库, 很多软件都是用它来作为数据包抓取工具的。 WireShark也是用PCAP库来抓取数据包的。PCAP抓取出来的数据包并不是原始的网络字节流,而是对其进行
java获取tcpdump_Java网络爬虫(十四)–使用tcpdump和wireshark进行网络抓包与分析...
weixin_39927508的博客
03-01 377
最近打算通过学校的某某系统抓取一下每个学生的个人信息,由于需要进行模拟登录,所以就要对登录页面进行post参数的提交。但是在进行网络抓包的过程中,使用chrome自带的网络抓包分析工具(也就是F12)发现每次在进行登录提交表格之后,chrome并不能将所需要提交的参数表单抓取下来。问了学长原因,觉得是登录成功之后因为页面的跳转需要进行刷新,所以就将表单提交的那部分数据给刷掉了。学长提供的解决办法是...
Web基础配置篇(九): 抓包工具的介绍、安装及基本使用
feiyangtianyao的专栏
08-13 1938
Web基础配置篇(九): 抓包工具的介绍、安装及基本使用 一、概述 抓包就是将网络传输发送与接收的数据包进行截获、重发、编辑、转存等操作,也用来检查网络安全。抓包也经常被用来进行数据截取等。 抓包工具有很多,到网上一搜一大堆,但是本篇不准备介绍那些偏门的工具。本篇主要介绍下windows和linux上的主流几个抓包工具如何一步步使用的,以及在web开发中的应用。 本篇要介绍的工具包含: windo...
java抓包后对pcap文件解析示例
09-04
Pcap文件是一种常见的抓包格式,它包含在网络中捕获的数据包信息。本示例将详细介绍如何使用Java解析pcap文件。 首先,我们需要理解Pcap文件的结构。Pcap文件由两部分组成:全局头部和数据包头部。全局头部提供了...
网络数据流逆向分析“潜逃之谜.pcap文件
09-12
利用 WinHex、Wireshark 等工具,逆向分析“潜逃之谜.pcap文件,根据 案件描述找到案件调查线索,理解并掌握基于 Wireshark 的网络数据流分析方法。
Java网络抓包.zip
01-07
Java网络抓包是一种技术,用于监控和分析网络通信数据,以了解网络数据包的传输情况。这在软件开发、网络故障排查、安全检测等领域都具有重要意义。在Java环境中实现网络抓包,开发者通常会利用Java的Socket编程、...
基于Java Swing的网络抓包协议分析程序.zip
04-13
2.导入lib文件夹所有jar包 3.解压jnetpcap-1.4.r1425-1.win64.zip,将jnetpcap.dll、jnetpcap-pcap100.dll放入jdk的bin路径下。 或打开ProjectStructure->Libraries->New Project Library->Java,将解压后的文件夹...
pcap文件详解
peiwang245的博客
05-14 1850
一.简介 pcap文件是常用的数据报存储格式,可以理解为就是一种文件格式,只不过里面的数据是按照特定格式存储的,所以我们想要解析里面的数据,也必须按照一定的格式。普通的记事本打开pcap文件显示的是乱码,用安装了HEX-Editor插件的Notepad++打开,能够以16进制数据的格式显示,用wireshark这种抓包工具就可以正常打开这种文件,愉快地查看里面的网络数据报了,同时wireshark也可以生成这种格式的文件。当然这些工具只是我经常使用的,还有很多其它能够查看pcap文件工具。 二...
Java基础——【习题三】数组练习题
热门推荐
我要学Java_blog
08-18 2万+
【习题三】数组练习题 1、定义一个数组来存储12个学生的成绩{72,89,65,58,87,91,53,82,71,93,76,68},计算并输出学生的平均成绩。   package t3; public class TestArray1{ public static void main(String[]args){ int []a={72,89,65,58,87,91,53,82
Idea导出可运行jar包及运行方法
我要学Java_blog
09-26 1万+
准备 idea软件 可正确运行的项目 操作步骤 1,在项目上鼠标右键,选择open module settings 2,选择Artifacts,点击“+”号 3,选择JAR,点击From modules with dependencies 4,Main Class 是项目运行的入口,选择主类所在的Java文件 5,设置META-INF/MANIFEST.MF,选择项目所在根目录 6,设置JAR files from librari...
Java基础——【习题一】流程控制练习题
我要学Java_blog
08-14 7505
【习题一】流程控制练习题 1、要求用户输入一个年份,判断并输出该年份是闰年还是平年。 提示:判断闰年的条件为:(year%4==0&&year%100!=0) ||(year%400==0) 考察点:闰年的判断条件、条件分支流程(if else) package t1; import java.util.Scanner; public class TestYear{ public st
tcpdump .pcap 文件解析
08-11
解析 pcap 文件,你可以使用 tcpdump 命令行工具。tcpdump 是一个功能强大的网络抓包工具,可以捕获和分析网络数据包。 以下是使用 tcpdump 解析 pcap 文件的步骤: 1. 打开终端或命令提示符:在你的操作系统中打开一个终端窗口或命令提示符。 2. 运行 tcpdump 命令:使用以下命令来解析 pcap 文件: ``` tcpdump -r <pcap文件路径> ``` 将 `<pcap文件路径>` 替换为你要解析pcap 文件的实际路径。 3. 解析数据包:运行命令后,tcpdump 会读取 pcap 文件并将其中的数据包信息显示在终端窗口中。你将看到每个数据包的时间戳、源和目标 IP 地址、端口号、协议等信息。 此外,tcpdump 还提供了许多过滤选项,以便你可以根据需要筛选和分析特定类型的数据包。例如,你可以使用 `-i` 选项指定要监听的网络接口,使用 `-s` 选项设置捕获数据包的最大长度,使用 `-n` 选项禁用主机名解析等等。你可以通过运行 `tcpdump --help` 命令来查看更多选项和用法。 请注意,tcpdump 是一个强大而复杂的工具,对于没有经验的用户可能需要一些时间来熟悉和理解其用法和输出结果。如果你需要更详细或高级的分析,可能需要使用其他工具或编写自定义脚本来处理 pcap 文件
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值