一、简介
一般来说使用普通的笔记本打开的pcap文件显示的是乱码,所以我们需要使用支持16进制格式的工具去查看该文件,这里使用https://hexed.it/这个在线网站去查看。
二、文件格式
pcag文件格式主要是由文件头-数据包头1-数据包1-数据包头2-数据包2这类格式组成。其中文件头只有一个,数据包头和数据包可以有多个,如下图所示。
每个pcap文件只有一个文件头,里面包含7个字段,总共占24(B)字节。
1.Pcap Header
| header field | size | explain |
|---|---|---|
| Magic | 4B | 标记文件开始,并用来识别文件和字节顺序 |
| Major | 2B | 当前Pcap文件的主要版本号,一般为0x0200 |
| Minor | 2B | 当前Pcap文件的次要版本号,一般为0x0400 |
| ThisZone | 4B | 当地的标准事件,如果用的是GMT则全零,一般全零 |
| SigFlags | 4B | 时间戳的精度,一般为全零 |
| SnapLen | 4B | 所抓获的数据包的最大长度 |
| LinkType | 4B | 数据链路类型 |
2.Packet Header
|
header field
|
size
|
explain
|
|---|---|---|
|
Timestamp
|
4B
|
时间戳高位,精确到seconds
|
|
Timestamp
|
4B
|
时间戳低位,能够精确到microseconds
|
|
Caplen
|
4B
|
即抓取到的数据帧长度,由此可以得到下一个数据帧的位置。
|
|
Len
|
4B
|
实际的数据帧长度
|
3.Packet Data
Packet是链路层的数据帧,其长度是Packet Header中定义的Caplen值,所以Packet Data的长度为Caplen。
4.案例
打开文件后如图所示(这里截取前面的部分)
Pcap Header
|
header field
|
value
|
|---|---|
|
Magic
|
0XD4C3B2A1
|
|
Major
|
0X0002
|
|
Minor
|
0X0004
|
|
ThisZone
|
0X00000000
|
|
SigFlags
|
0X00000000
|
|
SnapLen
|
0X00040000
|
|
LinkType
|
0X00000001
|
Packet Header
|
header field
|
value
|
|---|---|
|
Timestamp
|
0X6279C37B
|
|
Timestamp
|
0X0009EDB4
|
|
Caplen
|
0X00000042
|
|
Len
|
0X00000042
|
Packet Data
今天的文章Pcap文件详解分享到此就结束了,感谢您的阅读,如果确实帮到您,您可以动动手指转发给其他人。
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。
如需转载请保留出处:https://bianchenghao.cn/57660.html
