使用wireshark抓包工具,預設訪問為pcap檔案,
pcap檔案頭24b各欄位說明:
magic:4b:0x1a 2b 3c 4d:用來標示檔案的開始
major:2b,0x02 00:當前檔案主要的版本號
minor:2b,0x04 00當前檔案次要的版本號
thiszone:4b當地的標準時間;全零
sigfigs:4b時間戳的精度;全零
snaplen:4b最大的儲存長度
linktype:4b鏈路型別
0 bsd loopback devices, except for later openbsd
1 ethernet, and linux loopback devices
6 802.5 token ring
7 arcnet
8 slip
9 ppp
10 fddi
100 llc/snap-encapsulated atm
101 "raw ip", with no link
102 bsd/os slip
103 bsd/os ppp
104 cisco hdlc
105 802.11
108 later openbsd loopback devices (with the af_value in network byte order)
113 special linux "cooked" capture
114 localtalk
其中我們最為常見的型別就是1,乙太網鏈路。
字段說明:
timestamp:時間戳高位,精確到seconds
timestamp:時間戳低位,精確到microseconds
caplen:當前資料區的長度,即抓取到的資料幀長度,由此可以得到下乙個資料幀的位置。
len:離線資料長度:網路中實際資料幀的長度,一般不大於caplen,多數情況下和caplen數值相等。
packet 資料:即 packet(通常就是鏈路層的資料幀去掉前面用於同步和標識幀開始的8位元組和最後用於crc校驗的4位元組)具體內容,長度就是caplen,這個長度的後面,就是當前pcap檔案中存放的下乙個packet資料報,也就是說:pcap檔案裡面並沒有規定捕獲的packet資料報之間有什麼間隔字串,我們需要靠第乙個packet包確定下一組資料在檔案中的起始位置,向後以此類推。
圖中最開始的綠色部分就是24 bytes的pcap header,接下來紅色的16 bytes是第乙個訊息的packet header, 後面的紅色的16 bytes是第二個訊息的packet header。兩塊藍色的部分分別是兩個訊息從鏈路層開始的完整內容。在網路上實際傳輸的資料報在資料鏈路層上每乙個packet開始都會有7個用於同步的位元組(10101010, 10101010, 10101010, 10101010, 10101010, 10101010, 10101010,)和乙個用於標識該packet開始的位元組(10101011),最後還會有四個crc校驗位元組;而pcap檔案中會把前8個位元組和最後4個校驗自己去掉,因為這些資訊對於協議分析是沒有用處的。
用wireshark開啟乙個pcap資料報後, 每條訊息的所有field會被解析出來並會按照協議層次摺疊起來。第一層顯示的是frame ***,這一級別沒有對應某層具體的協議,而是對本條訊息的乙個概括性總結,描述了一些有用的概括性資訊,比如從裡面我們可以看到本條訊息各種協議的層次關係,展開其它協議層之後對應的是該協議的各個域;如下圖所示
綜述:pcap檔案頭:資料鏈路層14位元組包頭+20位元組ip包頭+20位元組tcp包頭或者udp;
目的mac(6b)+源mac(6b)+type(2b,0800,ip)+協議版本及頭長度(0x45,1b)+區分服務(1b)
+總長度(2b)+唯一標示(2b)+標誌與偏移量(2b)+ttl(1b)+協議(1b,tcp|udp)+校驗和(2b)
+源ip位址(4b)+目的ip位址(4b)+源埠(2b)+目的埠(2b)+序列號(4b)+確認號(4b)+頭長度(1b)+ack標誌(1b)+視窗大小(2b)+校驗和(2b)+緊急資料偏移量(2b)
PCAP檔案格式
一 基本格式 檔案頭 資料報頭 資料報 資料報頭 資料報.二 檔案頭結構體 以下是資料值與鏈路層型別的對應表 0 bsd loopback devices,except for later openbsd 1 ethernet,and linux loopback devices 乙太網型別,大多數...
pcap檔案格式
pcap檔案格式 pcap檔案格式是bpf儲存原始資料報的格式,很多軟體都在使用,比如tcpdump wireshark等等,了解pcap格式可以加深對原始資料報的了解,自己也可以手工構造任意的資料報進行測試。pcap檔案的格式為 檔案頭 24位元組 資料報頭 資料報 資料報頭為16位元組,後面緊跟...
Pcap檔案格式
整個資料流檔案,只會有乙個 global header,它定義了本檔案的讀取規則 最大儲存長度限制等內容 常用鏈路型別 0 bsd loopback devices,except for later openbsd 1 ethernet,and linux loopback devices 6802...