pcap檔案格式
pcap檔案格式是bpf儲存原始資料報的格式,很多軟體都在使用,比如tcpdump、wireshark等等,
了解pcap格式可以加深對原始資料報的了解,自己也可以手工構造任意的資料報進行測試。
pcap檔案的格式為:
檔案頭 24位元組
資料報頭 + 資料報 資料報頭為16位元組,後面緊跟資料報
資料報頭 + 資料報 ......
pcap.h裡定義了檔案頭的格式
struct pcap_file_header ;
看一下各字段的含義:
magic: 4位元組 pcap檔案標識 目前為「d4 c3 b2 a1」
major: 2位元組 主版本號 #define pcap_version_major 2
minor: 2位元組 次版本號 #define pcap_version_minor 4
thiszone:4位元組 時區修正 並未使用,目前全為0
sigfigs: 4位元組 精確時間戳 並未使用,目前全為0
snaplen: 4位元組 抓包最大長度 如果要抓全,設為0x0000ffff(65535),
tcpdump -s 0就是設定這個引數,預設為68位元組
linktype:4位元組 鏈路型別 一般都是1:ethernet
| magic |major | minor | thiszone | sigfigs | snaplen | linktype |
| d4 c3 b2 a1 | 02 00 | 04 00 | 00 00 00 00 | 00 00 00 00 | ff ff 00 00 | 01 00 00 00 |
資料報頭的格式
struct pcap_pkthdr ;
struct timeval ;
ts: 8位元組 抓包時間 4位元組表示秒數,4位元組表示微秒數
caplen:4位元組 儲存下來的包長度(最多是snaplen,比如68位元組)
len: 4位元組 資料報的真實長度,如果檔案中儲存的不是完整資料報,可能比caplen大
了解了pcap檔案格式,就可以自己手工構造任意資料報了,可以以錄好的包為基礎,
用十六進製制編輯器開啟進行修改。
PCAP檔案格式
一 基本格式 檔案頭 資料報頭 資料報 資料報頭 資料報.二 檔案頭結構體 以下是資料值與鏈路層型別的對應表 0 bsd loopback devices,except for later openbsd 1 ethernet,and linux loopback devices 乙太網型別,大多數...
pcap檔案格式
pcap檔案格式 pcap檔案格式是bpf儲存原始資料報的格式,很多軟體都在使用,比如tcpdump wireshark等等,了解pcap格式可以加深對原始資料報的了解,自己也可以手工構造任意的資料報進行測試。pcap檔案的格式為 檔案頭 24位元組 資料報頭 資料報 資料報頭為16位元組,後面緊跟...
pcap檔案格式
使用wireshark抓包工具,預設訪問為pcap檔案,pcap檔案頭24b各欄位說明 magic 4b 0x1a 2b 3c 4d 用來標示檔案的開始 major 2b,0x02 00 當前檔案主要的版本號 minor 2b,0x04 00當前檔案次要的版本號 thiszone 4b當地的標準時間...