pcap文件怎么打开
一.介绍
? ? pcap文件是常见的数据报储存格式,能够了解为便是一种文件格式,只不过是里边的数据是依照特殊格式储存的,因此 大家要想分析里边的数据,也务必依照一定的格式 。一般的文本文档开启pcap文件表明的是错码,用安裝了HEX-Editor软件的Notepad开启,可以以16进制数据的格式表明,用wireshark这类抓包软件就可以一切正常开启这类文件,开心地查询里边的互联网数据报了,另外wireshark还可以形成这类格式的文件 。自然这种专用工具仅仅我经常应用的,也有许多其他可以查询pcap文件的专用工具 。
二.pcap文件格式
文章插图
?
? ? 如圖所显示,pcap文件的整体构造便是文件头-数据包头1-数据包1-数据包头2-数据包2等方式,为何要那么设计方案,看了下边的你也就明白了 。
1.Pcap Header
? ? 文件头,每一个pcap文件只有一个文件头,一共占24(B)字节数,下列是一共七个字段名的含意 。
? ? Magic(4B):标识文件逐渐,并用于鉴别文件和字节数次序 。值能够为0xa1b2c3d4或是0xd4c3b2a1,如果是0xa1b2c3d4表明是大端方式,依照原先的次序一个字节一个字节的读,如果是0xd4c3b2a1表明小端模式,下边的字节数都需要互换次序 。如今的电脑上绝大多数是小端模式 。
? ? Major(2B):当今文件的关键版本信息,一般为0x0200
? ? Minor(2B):当今文件的主次版本信息,一般为0x0400
? ? ThisZone(4B):本地的规范恶性事件,假如用的是GMT则全零,一般全零
? ? SigFigs(4B):时间格式的精密度,一般为全零
? ? SnapLen(4B):较大 的储存长短,设定所抓捕的数据包的较大 长短,假如全部数据包都需要抓捕,将值设定为65535
? ? LinkType(4B):链接种类 。分析数据包最先要分辨它的LinkType,因此 这一值很重要 。一般的数值1,即以太网接口
? ? 常见的LinkType(链接种类):
? ?0? ? ? ? ? ? ? BSD loopback devices, except for later OpenBSD
? ?1? ? ? ? ? ? ? Ethernet, and Linux loopback devices
? ?6? ? ? ? ? ? ? 802.5? Token Ring
? ?7? ? ? ? ? ? ? ARCnet
? ?8? ? ? ? ? ? ? SLIP
? ?9? ? ? PPP
? ?10? ? ? ? ? ? ?FDDI
? ?100? ? ? ? ? LLC/SNAP-encapsulated? ATM?
? ?101? ? ? ? ? ? "raw IP", with no link
? ?102? ? ? ? ? ? ?BSD/OS? SLIP
? ?103? ? ? ? ? ? ?BSD/OS? PPP
? ?104? ? ? ? ? ? ?Cisco? HDLC
? ?105? ? ? ? ? ? ?802.11
? ?108? ? ? ? ? ? ?later OpenBSD loopback devices (with the AF_value in network byte order)
? ?113? ? ? ? ? ? ?special? Linux? "cooked"? capture
? ?114? ? ? ? ? ? ?LocalTalk
2.Packet Header
?数据包头能够有好几个,每一个数据包头后边都跟随真实的数据包 。下列是Packet Header的4个字段名含意
?Timestamp(4B):时间格式上位,精准到seconds,它是Unix时间格式 。捕捉数据包的時间一般是依据这一值
?Timestamp(4B):时间格式底位,可以精准到microseconds
?Caplen(4B):当今数据区的长短,即爬取到的数据帧长短,从而能够获得下一个数据帧的部位 。
?Len(4B):线下数据长短,网络中具体数据帧的长短,一般不超Caplen,大部分状况下和Caplen值一样
3.Packet Data? ?
?Packet是链路层的数据帧,长短便是Packet Header中界定的Caplen值,因此 每一个Packet Header后边都跟随Caplen长短的Packet Data 。换句话说pcap文件并沒有要求捕捉的数据帧中间有哪些间距字符串数组 。Packet数据帧一部分的格式便是规范的网络层协议格式了 。
最终再来一个案例,pcap文件的16进制格式
鲜红色一部分是Pcap Header,深蓝色一部分是Packet pcap文件如何打开 Header,自然这是以pcap文件的起止一部分逐渐的 。期待别看不上这歪曲的线框
Pcap Header的Magic:d4 c3 b2 a1,表明是小端模式,后边的字节数从后面向前读 。
Pcap Header的Major:02 00,计算机读的应该是00 02 。较大 储存长短SnapLen:ff ff 00 00 ,同样计算机读的应该是00 00 ff ff,因此 是2的16三次方减一,是65535个字节数 。LinkType:01 00 00 00 ,具体是00 00 00 01,是以太网接口种类 。
深蓝色一部分的Packet Header我不一一讲了,重点关注Caplen:c5 01 00 00,计算机读的是00 00 01 c5,转化成十进制便是453,因此 后边的453个字节数全是一个数据帧 。以后就也是一个Pcap Header,这般循环系统 。
一样的文件用wireshark开启看一下:
?能够见到第一个数据帧,便是453个字节数 。还能看下边的数据帧的16进制初始数据和上边深蓝色一部分以后的数据是否一样 。
【pcap文件怎么打开】?
- 情侣怎么聊天才不无聊(情侣有必要每天聊天吗)
- 犹如近义词(烧水壶不烧水怎么回事)
- 丈夫|17年前,生完孩子后“一夜变老”的80后宝妈,现在怎么样了
- 过去一年的收获(错过了怎么办)
- 弟弟|“闺女,你有孩子也得养4岁弟弟”“妈,我是全职妈妈,怎么养”
- 韩商言和佟年哪集在一起的(亲爱的各种语言怎么说)
- 孩子|6岁哥哥总被1岁弟弟咬,无奈出“奇招”,孩子总咬人该怎么办?
- 心爱的人离开心情说说(突然和心爱的人分开了怎么办)
- 怒怼|“你才怀孕5个月,自己买菜做饭怎么了”,孕妈怒怼让人解气
- 怎么让宅男不宅(什么东西可以让人兴奋)