pcap文件详解_meteor^_^的博客-CSDN博客_pcap
pcap文件详解
meteor^_^
于 2018-04-27 22:30:42 发布
89168
收藏
237
分类专栏:
计算机网络
文章标签:
pcap文件
网络数据包
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ytx2014214081/article/details/80112277
版权
计算机网络
专栏收录该内容
6 篇文章
10 订阅
订阅专栏
一.简介
pcap文件是常用的数据报存储格式,可以理解为就是一种文件格式,只不过里面的数据是按照特定格式存储的,所以我们想要解析里面的数据,也必须按照一定的格式。普通的记事本打开pcap文件显示的是乱码,用安装了HEX-Editor插件的Notepad++打开,能够以16进制数据的格式显示,用wireshark这种抓包工具就可以正常打开这种文件,愉快地查看里面的网络数据报了,同时wireshark也可以生成这种格式的文件。当然这些工具只是我经常使用的,还有很多其它能够查看pcap文件的工具。
二.pcap文件格式
如上图所示,pcap文件的总体结构就是文件头-数据包头1-数据包1-数据包头2-数据包2等形式,为什么要这么设计,看完下面的你就懂了。
1.Pcap Header
文件头,每一个pcap文件只有一个文件头,总共占24(B)字节,以下是总共7个字段的含义。
Magic(4B):标记文件开始,并用来识别文件和字节顺序。值可以为0xa1b2c3d4或者0xd4c3b2a1,如果是0xa1b2c3d4表示是大端模式,按照原来的顺序一个字节一个字节的读,如果是0xd4c3b2a1表示小端模式,下面的字节都要交换顺序。现在的电脑大部分是小端模式。
Major(2B):当前文件的主要版本号,一般为0x0200
Minor(2B):当前文件的次要版本号,一般为0x0400
ThisZone(4B):当地的标准事件,如果用的是GMT则全零,一般全零
SigFigs(4B):时间戳的精度,一般为全零
SnapLen(4B):最大的存储长度,设置所抓获的数据包的最大长度,如果所有数据包都要抓获,将值设置为65535
LinkType(4B):链路类型。解析数据包首先要判断它的LinkType,所以这个值很重要。一般的值为1,即以太网
常用的LinkType(链路类型):
0 BSD loopback devices, except for later OpenBSD
1 Ethernet, and Linux loopback devices
6 802.5 Token Ring
7 ARCnet
8 SLIP
9 PPP
10 FDDI
100 LLC/SNAP-encapsulated ATM
101 "raw IP", with no link
102 BSD/OS SLIP
103 BSD/OS PPP
104 Cisco HDLC
105 802.11
108 later OpenBSD loopback devices (with the AF_value in network byte order)
113 special Linux "cooked" capture
114 LocalTalk
2.Packet Header
数据包头可以有多个,每个数据包头后面都跟着真正的数据包。以下是Packet Header的4个字段含义
Timestamp(4B):时间戳高位,精确到seconds,这是Unix时间戳。捕获数据包的时间一般是根据这个值
Timestamp(4B):时间戳低位,能够精确到microseconds
Caplen(4B):当前数据区的长度,即抓取到的数据帧长度,由此可以得到下一个数据帧的位置。
Len(4B):离线数据长度,网路中实际数据帧的长度,一般不大于Caplen,多数情况下和Caplen值一样
3.Packet Data
Packet是链路层的数据帧,长度就是Packet Header中定义的Caplen值,所以每个Packet Header后面都跟着Caplen长度的Packet Data。也就是说pcap文件并没有规定捕获的数据帧之间有什么间隔字符串。Packet数据帧部分的格式就是标准的网络协议格式了。
最后来个实例,pcap文件的16进制格式
红色部分是Pcap Header,蓝色部分是Packet Header,当然这是从pcap文件的起始部分开始的。希望别嫌弃这扭曲的线条
Pcap Header的Magic:d4 c3 b2 a1,表示是小端模式,后面的字节从后往前读。
Pcap Header的Major:02 00,计算机读的应该是00 02。最大存储长度SnapLen:ff ff 00 00 ,同理计算机读的应该是00 00 ff ff,所以是2的16次方减一,是65535个字节。LinkType:01 00 00 00 ,实际是00 00 00 01,是以太网类型。
蓝色部分的Packet Header我就不一一说了,重点关注Caplen:c5 01 00 00,计算机读的是00 00 01 c5,转换成十进制就是453,所以后面的453个字节都是一个数据帧。之后就又是一个Pcap Header,如此循环。
同样的文件用wireshark打开看一下:
可以看到第一个数据帧,就是453个字节。还可以看底下的数据帧的16进制原始数据和上面蓝色部分之后的数据是不是一样。
关注博主即可阅读全文
meteor^_^
关注
关注
67
点赞
237
收藏
打赏
12
评论
pcap文件详解
一.简介 pcap文件是常用的数据报存储格式,可以理解为就是一种文件格式,只不过里面的数据是按照特定格式存储的,所以我们想要解析里面的数据,也必须按照一定的格式。普通的记事本打开pcap文件显示的是乱码,用安装了HEX-Editor插件的Notepad++打开,能够以16进制数据的格式显示,用wireshark这种抓包工具就可以正常打开这种文件,愉快地查看里面的网络数据报了,同时wiresh...
复制链接
扫一扫
专栏目录
PCAP文件格式分析(做抓包软件之必备) - 青青子衿 - CSDN博客
01-17
PCAP文件格式分析(做抓包软件之必备)
一、基本格式:
文件头 数据包头 数据报 数据包头 数据报......
二、文件头结构体:
sturct pcap_file_header
DWORD magic;
WORD version_major;
WORD version_minor;
DWORD thiszone;
DWORD sigfigs;
DWORD snaplen;
DWORD linktype;
说明:
解析pcap包工具
10-04
能把抓到的pcap包文件中g.729编码的rtp流解析存为wav文件
评论 12
您还未登录,请先
登录
后发表或查看评论
pcap中文文档
04-19
pcap库的中文文档。利用PCAP库,可以方便的在windows和linux平台实现网络抓包,分析以及网络通信操作。
PCAP格式文件及解析说明
03-12
详细介绍了PCAP格式以及说明格式内容,对PCAP格式的文件进行了详细的说明
对wireshark抓包的pcap文件提取RTP包及其被抓包的时间
最新发布
qq_43264658的博客
10-26
48
网上查找了很多提取pcap内容的方法,发现按照下面代码可以自接读出各字节内容
网络抓包文件格式(.pcap/.cap)剖析
街头看日出的博客
04-12
2万+
pcap
pcap文件解析
qq_40878398的博客
08-18
8732
pcap文件解析
1. pcap简介:
pcap文件是一种常用的数据报存储文件,这种文件可以保存我们所抓到的报文。它有这固定的存储格式,通过notepad++中的插件Hex-Editor我们可以观察其中的16进制数据,从而来进行pcap文件的分析。
2. Pcap文件格式:
pcap文件格式如图所示:
以24字节的Pcap Header开头:
随后跟上每一个报文的相关信息:
Packet Header:记录报文信息
Packet Data:记录报文数据
3. pcap Header
// pc
Pcap文件详解
Ds的博客
03-17
1万+
Pcap文件详解
一、简介
pcap文件是常用的数据报存储格式,可以理解为就是一种文件格式,只不过里面的数据是按照特定格式存储的,所以我们想要解析里面的数据,也必须按照一定的格式。
普通的记事本打开pcap文件显示的是乱码,用安装了HEX-Editor插件的Notepad++打开,能够以16进制数据的格式显示,或者使用sublime打开以十六进制的格式显示。用wireshark这种抓包工具就可以正常打开这种文件,愉快地查看里面的网络数据报了,同时wireshark也可以生成这种格式的文件。
还有一些其他网络
pcap详解
10-01
715
pcap格式及API详解
Pcap 数据包捕获格式详解
人人都懂物联网
05-24
2567
Pcap 是 Packet Capture 的英文缩写,是一种行业标准的网络数据包捕获格式。如果你是网络开发人员,那么通常会使用 Wireshark、Tcpdump 或 WinDump 等网络分析器捕获 TCP/IP 数据包,而抓包后存盘的文件格式就是 .pcap 文件。
文件格式
Pcap 文件格式是一种二进制格式,支持纳秒级精度的时间戳。虽然这种格式在不同的实现中有所不同,但是所有的 pcap 文件都具有如下图所示的一般结构。
全局报头
全局报头(Global Header)包含魔数(Magic nu
PACP学习笔记一:使用 PCAP 编程
山鬼谣的专栏
06-27
797
参数具体说明
说明
第一个参数
第二个参数
是一个指向结构的指针,该结构包含有关数据包的一般信息,特别是它被嗅探的时间、该数据包的长度以及该特定部分的长度(例如,如果它被分段)。
返回值
返回指向此结构描述的数据包的 u_char 指针
pcap_loop()
参数具体说明
说明
第一个参数
第一个参数是我们会话句柄
第二个参数
是一个整数,它告诉 pcap_loop() 在返回之前它应该嗅探多少数据包(负值意味着它应该嗅探直到发生错误)
第三个参数
是回调函
pcap文件linux怎么打开,pcap文件用什么打开
weixin_30234101的博客
05-07
4443
linux 应用 pcap文件怎么打开如果你是一个测试入侵侦测系统或一些网络访问控制策略的网络管理员,那么你经常需要抓取数据包并在离线状态下分析这些文件。当需要保存捕获的数据包时,我们一般会存储为 libpcap 的数据包格式 pcap,这是一种被许多开源的嗅探工具以及捕包程序请问用什么软件打开*.pcap格式的文件?CSS布局HTML小编今天和大家分享解wireshark 怎么打不开pcap文件...
Pcap包解析
weixinhum
01-31
9200
之前一直做视觉相关的工作,近期接触激光雷达才发现,激光雷达传感器厂商保存数据的方式一般采用Pcap包的形式,虽然不太清楚为什么要这么做,但不管清不清楚总归只能跟着它这么搞。
一个Pcap文件包括“Pcap报头”,“数据区”两个部分,其中数据区又分成多个数据包,每个包有报头和数据两个部分,总体结构可见下图:
其中固定大小的为“Pcap报头”和数据包中的“数据报头”。
“Pcap报头”大小为24个字...
pcap(cap)包文件解析
热门推荐
buside的博客
06-19
3万+
https://blog.csdn.net/m0_37710388/article/details/89217421
pcap文件是常用的数据报存储格式,可以理解为就是一种文件格式,只不过里面的数据是按照特定格式存储的,所以我们想要解析里面的数据,也必须按照一定的格式。普通的记事本打开pcap文件显示的是乱码,用Ultra Edit能够以16进制数据的格式显示,用wireshark这种抓...
pcap入门教程
weixin_40021744的博客
08-14
2676
第一件事就是需要了解 pcap 应用的格式
1.发现哪个网卡需要我们去sniff 嗅探
linux下也许是eth0
BSD下可能是 xl1
我们可以将设备定义为string然后打开该设备,或者我们可以让pcap自己查找然后提供我们网卡的名称
2.初始化pcap ,实际上就是我们告诉pcap 去嗅探哪个网卡设备。如果我们想的话,可以同时嗅探多个网卡设备。
我们使用文件描述符去区分这些网卡,就像我们打...
c语言判断pcap文件结尾,PCAP文件扩展名 - 什么是.pcap以及如何打开? - ReviverSoft...
weixin_30270715的博客
05-26
140
你在这里因为你有,有一个文件扩展名结尾的文件.pcap.文件与文件扩展名.pcap只能通过特定的应用程序推出。这有可能是.pcap文件是数据文件,而不是文件或媒体,这意味着他们并不是在所有观看。什么是一 .pcap 文件?该.pcap文件扩展名主要使用Wireshark相关;用于分析网络的程序。 .pcap文件是使用程序创建的数据文件,并且它们包含的...
网络安全系列-二十五: PCAP文件格式详解及读取PCAP文件源码示例
penriver的博客
05-14
3931
在Linux里,pcap是一种通用的数据流格式,是用于保存捕获的网络数据的一种非常基本的格式。
很多开源的项目都使用这种数据格式,如wireshark、tcpdump、scapy、snort
本文针对pcap的文件格式进行详解,并提供读取pcap文件的源代码示例
pcap文件格式
weixin_44364851的博客
06-30
2444
PCAP是什么:
pcap文件是常用的数据报存储格式,可以理解为就是一种文件格式,只不过里面的数据是按照特定格式存储的,所以我们想要解析里面的数据,也必须按照一定的格式。
PCAP格式:
如图所示,pcap文件格式就是文件头-数据包头1-数据包1-数据包头2-数据包2……
1.Pcap Header:
文件头,每一个pcap文件只有一个文件头,总共占24(B)字节,总共有7个字段。
Magic(4B):标记文件开始,并用来识别文件和字节顺序。值可以为0xa1b2c3d4或者0xd4c3b2a1,如果是0x
解析pcap文件及读取实现源码
Luo Bin
01-24
1万+
pcap文件的格式为:
文件头 24字节
数据报头 + 数据报 数据包头为16字节,后面紧跟数据报
数据报头 + 数据报 ......
pcap.h里定义了文件头的格式
struct pcap_file_header {
bpf_u_int32 magic;
u_short version_major;
u_sh
“相关推荐”对你有帮助么?
非常没帮助
没帮助
一般
有帮助
非常有帮助
提交
©️2022 CSDN
皮肤主题:像素格子
设计师:CSDN官方博客
返回首页
meteor^_^
CSDN认证博客专家
CSDN认证企业博客
码龄7年
暂无认证
87
原创
5374
周排名
187万+
总排名
60万+
访问
等级
3633
积分
1万+
粉丝
349
获赞
60
评论
1147
收藏
私信
关注
热门文章
ARP原理和ARP攻击
102844
pcap文件详解
89165
RedHat Enterprise Linux 6.4使用yum安装出现This system is not registered to Red Hat Subscription Management
69143
Git新建分支出现fatal: Not a valid object name: ‘master‘错误
51760
Windows下使用MinGW在命令行编译运行C++程序
32760
分类专栏
云原生
1篇
计算机网络
6篇
网络安全
1篇
终身学习
1篇
计算机基础
工具类
14篇
错误
14篇
分层思想
1篇
JSP
1篇
智力题
1篇
LeetCode
26篇
剑指offer
3篇
生活随笔
4篇
C++
C语言
11篇
Linux
3篇
算法与数据结构
14篇
Python
7篇
Java web
1篇
蓝色的书
1篇
最新评论
Windows下免安装版Tomcat的配置
qq_37078738:
感谢,之前没改bat文件浪费好多时间
Git新建分支出现fatal: Not a valid object name: ‘master‘错误
至尊八戒:
解决了我的问题
云原生是什么
恋喵大鲤鱼:
转载出处是?
使用git时出现warning:LF will be replaced by CRLF
HTxinghai:
不过已经出现这种情况,无法按博主的方法消除警告的话。就使用 rm -rf .git 删除这个仓库,修改配置后再创建仓库。
Windows下使用MinGW在命令行编译运行C++程序
protorock:
-L与[库文件路径]之间不能有空格!-LE:\mingw-w64\mingw32\lib
您愿意向朋友推荐“博客详情页”吗?
强烈不推荐
不推荐
一般般
推荐
强烈推荐
提交
最新文章
剑指offer-03.找出数组中重复的数字
云原生是什么
电路交换和分组交换
2021年1篇
2020年17篇
2019年3篇
2018年39篇
2017年52篇
目录
目录
分类专栏
云原生
1篇
计算机网络
6篇
网络安全
1篇
终身学习
1篇
计算机基础
工具类
14篇
错误
14篇
分层思想
1篇
JSP
1篇
智力题
1篇
LeetCode
26篇
剑指offer
3篇
生活随笔
4篇
C++
C语言
11篇
Linux
3篇
算法与数据结构
14篇
Python
7篇
Java web
1篇
蓝色的书
1篇
目录
评论 12
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
查看更多评论
打赏作者
meteor^_^
你的鼓励将是我前进的动力
¥2
¥4
¥6
¥10
¥20
输入1-500的整数
余额支付
(余额:-- )
扫码支付
扫码支付:¥2
获取中
扫码支付
您的余额不足,请更换扫码支付或充值
打赏作者
实付元
使用余额支付
点击重新获取
扫码支付
钱包余额
抵扣说明:
1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。 2.余额无法直接购买下载,可以购买VIP、C币套餐、付费专栏及课程。
余额充值