1. Toy模板网首页
  2. > Toy博客

pcap文件分析

10月前 作者:big big 陈 分类:Toy博客 阅读(30) 违法举报

这篇具有很好参考价值的文章主要介绍了pcap文件分析。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

pcap文件解析

学了一点.pcap文件的东西,赶紧记录下

1、 .pcap文件本质

pcap文件本身就是一种二进制的文件格式,使用winhex或者Sublime打开pcap文件只能看到一堆数字,也就是pcap文件本身的样子。而使用wireshark打开的pcap包就不一样了,显示的是解析后的各层协议及内容, 很通俗,一看就明白(所以我也一直以为数据包就长这样。。。。)

一个pcap包的结构:文件头–数据包头1-数据包1-数据包头2-数据包2…
一个数据包只有一个文件头,多个数据包头(我的理解是有几条报文就有几个数据包头)

2、wireshark查看pcap文件格式

一般wireshark打开pcap文件
pcap文件分析

在wireshark中将pcap转换为文件格式:wireshark打开一个数据包–视图–重新载入文件格式/捕获 ,就可以看到转换后的数据包长什么样子。
pcap文件分析

文件头

文件头Header只有一个,包含7个字段,具体含义如下:
Magic(4B):标记文件开始,0xd4c3b2a1表示小端模式,下面的字节都要交换顺序;如果是0xa1b2c3d4表示是大端模式,按照原来的顺序一个字节一个字节的读,
Major(2B):当前文件的主要版本号,一般为0x0200
Minor(2B):当前文件的次要版本号,一般为0x0400
ThisZone(4B):当地的标准事件,如果用的是GMT则全零,一般全零
SigFigs(4B):时间戳的精度,一般为全零
SnapLen(4B):个人理解是 在捕获数据包时设置的所要抓获的数据包中每一个报文的最大长度,默认为262144
LinkType(4B):链路类型。一般的值为1,即以太网,还有别的网络类型模式,不常用就没列出来

数据包头Packet

pcap文件分析

数据包头可以有多个,每个数据包头后面都跟着真正的数据包。以下是Packet Header的4个字段含义
Timestamp(4B):时间戳高位,精确到seconds,这是Unix时间戳。捕获数据包的时间一般是根据这个值
Timestamp(4B):时间戳低位,能够精确到microseconds
Tncluded lenth(4B):当前数据区的长度,即抓取到的数据帧长度,这个值一般要小于snaplen。
Origin Length(4B):离线数据长度,网路中实际数据帧的长度,一般不大于Caplen,多数情况下和Caplen值一样
DATA 储存数据帧的内容

3、snaplen参数个人理解:

在捕获数据包时设置的所要抓获的数据包中每一个报文的最大长度,tcpdump -s 可以设置snaplen的大小,若-s 0 或者不设置,则默认262144字节

tcpdump官网定义:

--snapshot-length=snaplen
    Snarf snaplen bytes of data from each packet rather than the default of 262144 bytes. Packets truncated because of a limited snapshot are indicated in the output with ``[|proto]'', where proto is the name of the protocol level at which the truncation has occurred. 
    Note that taking larger snapshots both increases the amount of time it takes to process packets and, effectively, decreases the amount of packet buffering. This may cause packets to be lost. Note also that taking smaller snapshots will discard data from protocols above the transport layer, which loses information that may be important. NFS and AFS requests and replies, for example, are very large, and much of the detail won't be available if a too-short snapshot length is selected. 
    If you need to reduce the snapshot size below the default, you should limit snaplen to the smallest number that will capture the protocol information you're interested in. Setting snaplen to 0 sets it to the default of 262144, for backwards compatibility with recent older versions of tcpdump.

tcpdump源码:

/*
 * Maximum snapshot length.  This should be enough to capture the full
 * packet on most network interfaces.
 *
 *
 * Somewhat arbitrary, but chosen to be:
 *
 *    1) big enough for maximum-size Linux loopback packets (65549)
 *       and some USB packets captured with USBPcap:
 *
 *           http://desowin.org/usbpcap/
 *
 *       (> 131072, < 262144)
 *
 * and
 *
 *    2) small enough not to cause attempts to allocate huge amounts of
 *       memory; some applications might use the snapshot length in a
 *       savefile header to control the size of the buffer they allocate,
 *       so a size of, say, 2^31-1 might not work well.
 *
 * XXX - does it need to be bigger still?
 */
#define MAXIMUM_SNAPLEN	262144

/*
 * The default snapshot length is the maximum.
 */
#define DEFAULT_SNAPLEN	MAXIMUM_SNAPLEN

参考:
1、https://github.com/the-tcpdump-group/tcpdump/blob/tcpdump-4.9/netdissect.h
2、https://www.tcpdump.org/manpages/tcpdump.1.html
3、https://blog.csdn.net/lu_embedded/article/details/124952413文章来源地址https://www.toymoban.com/news/detail-401427.html

到了这里,关于pcap文件分析的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

分享到:
领支付宝红包 赞助服务器费用

相关文章

  • Tcpdump 抓包工具使用以及Wireshark解析pcap包

    Tcpdump 抓包工具使用以及Wireshark解析pcap包

    Tcpdump 抓包工具使用以及Wireshark解析pacp包 参考链接(比较详细):https://blog.csdn.net/weixin_42866036/article/details/128004750 命令解析: -nn: 解析DNS 为IP        -e:         -i: 指定网关 -s: 包大小 -A:         cp[((tcp[12:1] 0xf0) 2):4] = 0x47455420: 由于我们都是http请求,这里使用监控http请

    2024年02月08日
    浏览(43)

  • wireshark工具pcap文件转换

    pcap详解_pcap_loop_小虎随笔的博客-CSDN博客 分析802.11无线报文hexdump内容:利用wireshark自带二进制工具text2pcap将hexdump内容转换为pcap文件..._weixin_30835933的博客-CSDN博客 text2pcap: 将hex转储文本转换为Wireshark可打开的pcap文件(wireshark,数据) - AI牛丝 hexdump xx.pcap yy.txt将xx.pcap文件输出转换

    2024年02月11日
    浏览(32)

  • 网络安全系列-四十一: arkime的docker-compose安装及可视化pcap文件示例

    有了待分析的pcap文件,如何针对pcap文件进行可视化展示,并对pcap文件中的流进行各种查询分析,查看联通图等? 本文基于arkime,来讲解如何基于docker快速搭建环境,并可视化pcap文件进行分析。 arkime(formerly Moloch) is a large-scale, open-source, indexed packet capture and search tool,详见介

    2023年04月08日
    浏览(44)
  • Elasticsearch 悬挂索引分析和自己的一点见解

    Elasticsearch 悬挂索引分析和自己的一点见解

    在 Elasticsearch 的实战中,悬挂索引是一个既常见又容易引起困扰的概念。 今天,我将分享一次处理集群状态为RED,原因为 DANGLING_INDEX_IMPORTED  的实战经验,深入探讨悬挂索引的定义、产生原因、管理方法,以及如何有效处理它们,确保读者能够明白并解决自己面临的问题。

    2024年04月13日
    浏览(37)

  • python 数据分析之 HTML文件解析

    HTML 是用来描述网页的一种语言。HTML 是一种在 Web 上使用的通用标记语言。HTML 允许你格式化文本,添加图片,创建链接、输入表单、框架和表格等等,并可将之存为文本文件,浏览器即可读取和显示。 HTML 指的是超文本标记语言: HyperText Markup Language HTML 不是一种编程语言,

    2024年02月16日
    浏览(48)
  • class文件中,常量池之后的相关数据解析!【class二进制文件分析】

    class文件中,常量池之后的相关数据解析!【class二进制文件分析】

    前言:前段时间读《深入java虚拟机》介绍到class文件的时候,由于理论知识较多,人总感觉疲惫不堪,就泛泛阅读了一下。在工作中使用起来知识点知道,但是总是需要查阅各种资料。今天有时间,继续整理常量池后面的相关知识。 class文件中,我们可以通过背或记也好,或

    2024年02月07日
    浏览(45)
  • 【每天学习一点新知识】文件包含常用之伪协议

    【每天学习一点新知识】文件包含常用之伪协议

    以下举例一些比较常用的伪协议及用法 可以用于执行php代码,通过post请求提交我们的代码 这里给一个攻防世界 Web_php_include 的例子 $page=str_replace(\\\"php://\\\", \\\"\\\", $page);这里把page参数里的php://替换成了空格,我们需要绕过它 用php://input执行ls命令查看文件,php用大小写来绕过 结果如

    2024年02月13日
    浏览(44)

  • [系统安全] 五十四.恶意软件分析 (6)PE文件解析及利用Python获取样本时间戳

    您可能之前看到过我写的类似文章,为什么还要重复撰写呢?只是想更好地帮助初学者了解病毒逆向分析和系统安全,更加成体系且不破坏之前的系列。因此,我重新开设了这个专栏,准备系统整理和深入学习系统安全、逆向分析和恶意代码检测,“系统安全”系列文章会更

    2024年01月19日
    浏览(63)
  • Mac笔记本用brew下载的东西存放在哪里?如何找到usr文件夹?

    Mac笔记本用brew下载的东西存放在哪里?如何找到usr文件夹?

    首先需要了解到Mac笔记本是没有分区的概念的,全部文件都是存放在一个区 第一:一般Homebrew都是安装在usr/bin/Cellar文件夹下面 第二:用brew命令安装的软件可以在Mac终端用brew list 来查看 第三:无论你的芯片是什么ARM,X86还是M1,查找用homebrew安装的软件的路径你都可以用命令

    2024年02月12日
    浏览(54)
  • 28_UI通用对话框多少会一点之浏览文件夹与遍历目录

    28_UI通用对话框多少会一点之浏览文件夹与遍历目录

    要想让用户选择一个文件夹,可以调用 SHBrowseForFolder() 函数∶ 函数返回值为PIDLIST_ABSOLUTE数据类型,在shtypes.h头文件中定义如下︰ 返回值类型 PIDLIST_ABSOLUTE 指定所选文件夹相对于命名空间根目录的位置。如果用户在对话框中单击了 \\\"取消\\\" 按钮、关闭了对话框或发生了错误,则

    2024年02月02日
    浏览(42)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包