pcap檔案格式

2021-05-25 16:03:09 字數 1100 閱讀 6091

pcap檔案格式

pcap檔案格式是bpf儲存原始資料報的格式,很多軟體都在使用,比如tcpdump、wireshark等等,

了解pcap格式可以加深對原始資料報的了解,自己也可以手工構造任意的資料報進行測試。

pcap檔案的格式為:

檔案頭 24位元組

資料報頭 + 資料報 資料報頭為16位元組,後面緊跟資料報

資料報頭 + 資料報 ......

pcap.h裡定義了檔案頭的格式

struct pcap_file_header ;

看一下各字段的含義:

magic: 4位元組 pcap檔案標識 目前為「d4 c3 b2 a1」

major: 2位元組主版本號 #define pcap_version_major 2

minor: 2位元組次版本號 #define pcap_version_minor 4

thiszone:4位元組時區修正 並未使用,目前全為0

sigfigs: 4位元組精確時間戳 並未使用,目前全為0

snaplen: 4位元組抓包最大長度如果要抓全,設為0x0000ffff(65535),

tcpdump -s 0就是設定這個引數,預設為68位元組

linktype:4位元組鏈路型別 一般都是1:ethernet

| magic |major | minor | thiszone | sigfigs | snaplen | linktype |

| d4 c3 b2 a1 | 02 00 | 04 00 | 00 00 00 00 | 00 00 00 00 | ff ff 00 00 | 01 00 00 00 |

資料報頭的格式

struct pcap_pkthdr ;

struct timeval ;

ts: 8位元組 抓包時間 4位元組表示秒數,4位元組表示微秒數

caplen:4位元組 儲存下來的包長度(最多是snaplen,比如68位元組)

len: 4位元組資料報的真實長度,如果檔案中儲存的不是完整資料報,可能比caplen大

了解了pcap檔案格式,就可以自己手工構造任意資料報了,可以以錄好的包為基礎,

用十六進製制編輯器開啟進行修改。

PCAP檔案格式

一 基本格式 檔案頭 資料報頭 資料報 資料報頭 資料報.二 檔案頭結構體 以下是資料值與鏈路層型別的對應表 0 bsd loopback devices,except for later openbsd 1 ethernet,and linux loopback devices 乙太網型別,大多數...

pcap檔案格式

使用wireshark抓包工具,預設訪問為pcap檔案,pcap檔案頭24b各欄位說明 magic 4b 0x1a 2b 3c 4d 用來標示檔案的開始 major 2b,0x02 00 當前檔案主要的版本號 minor 2b,0x04 00當前檔案次要的版本號 thiszone 4b當地的標準時間...

Pcap檔案格式

整個資料流檔案,只會有乙個 global header,它定義了本檔案的讀取規則 最大儲存長度限制等內容 常用鏈路型別 0 bsd loopback devices,except for later openbsd 1 ethernet,and linux loopback devices 6802...