整個資料流檔案,只會有乙個 global header,它定義了本檔案的讀取規則、最大儲存長度限制等內容;
常用鏈路型別
0 bsd loopback devices, except for later openbsd
1 ethernet, and linux loopback devices
6802.5 token ring
7 arcnet
8 slip
9 ppp
10 fddi
100 llc/snap-encapsulated atm
101"raw ip", with no link
102 bsd/os slip
103 bsd/os ppp
104 cisco hdlc
105802.11
108 later openbsd loopback devices (with
the af_value in network byte order)
113 special linux "cooked" capture
114 localtalk
packet data(共 caplen byte)
在包頭之後,就是資料報的資料了,資料長度就是caplen個byte,在這之後就是乙個新的packet header,定義乙個新的packet data屬性,再接乙個新的packet data,如此迴圈。
d4c3 b2a1 0200
0400
0000
0000
0000
0000
ff7f 0000
0100
0000
e5da c850 fbdc 0800
2a00 0000
2a00 0000
ffff ffff ffff 0000
0000
0000
0800
4500
001c 0001
0000
4032
7cad 7f00 0001
7f00
0001
0102
0304
0000
0001
eada c850 6d02 0100
2a00 0000
2a00 0000
ffff ffff ffff 0000
0000
0000
0800
4500
001c 0002
0000
4032
7cac 7f00 0001
7f00
0001
0102
0304
0000
0002
eeda c850 9824
0800
2a00 0000
2a00 0000
ffff ffff ffff 0000
0000
0000
0800
4500
001c 0003
0000
4032
7cab 7f00 0001
7f00
0001
0102
0304
0000
0003
f3da c850 250c 0100
2a00 0000
2a00 0000
ffff ffff ffff 0000
0000
0000
0800
4500
001c 0004
0000
4032
7caa 7f00 0001
7f00
0001
0102
0304
0000
0004
2bdc c850 7952
0500
2a00 0000
2a00 0000
ffff ffff ffff 0000
0000
0000
0800
4500
001c 2710
0000
4032
559e 7f00 0001
7f00
0001
0102
0304
0000
2710
d4c3 b2a1 0200 0400 0000 0000 0000 0000
ff7f 0000 0100 0000
e5da c850 fbdc 0800
2a00 0000
2a00 0000
ffff ffff ffff 0000
0000
0000
0800
4500
001c 0001
0000
4032
7cad 7f00 0001
7f00
0001
0102
0304
0000
0001
PCAP檔案格式
一 基本格式 檔案頭 資料報頭 資料報 資料報頭 資料報.二 檔案頭結構體 以下是資料值與鏈路層型別的對應表 0 bsd loopback devices,except for later openbsd 1 ethernet,and linux loopback devices 乙太網型別,大多數...
pcap檔案格式
pcap檔案格式 pcap檔案格式是bpf儲存原始資料報的格式,很多軟體都在使用,比如tcpdump wireshark等等,了解pcap格式可以加深對原始資料報的了解,自己也可以手工構造任意的資料報進行測試。pcap檔案的格式為 檔案頭 24位元組 資料報頭 資料報 資料報頭為16位元組,後面緊跟...
pcap檔案格式
使用wireshark抓包工具,預設訪問為pcap檔案,pcap檔案頭24b各欄位說明 magic 4b 0x1a 2b 3c 4d 用來標示檔案的開始 major 2b,0x02 00 當前檔案主要的版本號 minor 2b,0x04 00當前檔案次要的版本號 thiszone 4b當地的標準時間...