当前位置 : 首页 » 文章分类 :  科研  »  CAP数据包文件解析

CAP数据包文件解析

windows下的wireshark和Linux下的tcpdump所抓的包为同样的CAP文件的格式,sniffer软件所抓的包文件扩展名也是.cap,但格式却不太一样。本文主要说明ethereal和tcpdump抓包产生的.cap文件的格式。
其实,要获得PCAP文件的格式,除了直接打开.cap文件来分析外,可以看WinPcap包或Linux下/usr/include下的pcap.h头文件。pcap.h文件中不但提供了cap文件解析的各种结构体,还提供了解析函数。
OK,先使用UE或WinHex打开.cap文件,开始分析其内容:

(1)cap文件头

前面24个字节是.cap文件的文件头。
头信息对应的结构体为:

struct pcap_file_header {
    bpf_u_int32 magic;
    u_short version_major;
    u_short version_minor;
    bpf_int32 thiszone;    /* gmt to local correction */
    bpf_u_int32 sigfigs;    /* accuracy of timestamps */
    bpf_u_int32 snaplen;    /* max length saved portion of each pkt */
    bpf_u_int32 linktype;    /* data link type (LINKTYPE_*) */
};

cap文件中的linktype很重要,不同的网络环境下抓包,数据帧的帧头是不一样的。比如,在局域网内抓包,linktype为1 ( DLT_EN10MB, Ethernet (10Mb) ),以太网的帧头就是两个网卡物理地址;如果直接用ADSL拨号上线,则linktype为9 ( DLT_PPP, Point-to-point Protocol),数据帧头为PPP协议。
关于linktype支持的类型,可以参考pcap-bpf.h中定义的以DLT_开头的宏。

(2)每个帧的头信息
头信息后是顺序的每个数据包的信息,其中前16字节是抓包时间、捕获的包长度、真实的数据包长度,然后才是具体的数据帧的内容。

上图是单个数据包的cap文件,数据包长度是62字节(3E0x)。
以上是一个数据段的内容。数据段的头对应的结构体为:

struct pcap_pkthdr {
    struct timeval ts;    /* time stamp */
    bpf_u_int32 caplen;    /* length of portion present */
    bpf_u_int32 len;    /* length this packet (off wire) */
};

ts为抓包的时间;caplen和len我发现一般都是一样的。(什么情况下会不一样还没搞懂)
注意:若是多个帧的cap文件,每个帧之前都会有16字节的帧头信息,之后才是具体的捕获到的数据帧内容,需要根据每个帧的长度来将不同的帧分开。也就是说,若是单个帧的cap文件,前40字节是cap文件提供的信息,之后才是帧内容。

(3)帧内容
之后就是包的信息了。例子中的包信息是局域网中抓的,所以是以太网帧头,结构体如下:

struct EthernetPacket
{
    char MacDst[6];             ///< 目的网卡物理地址
    char MacSrc[6];             ///< 源网卡物理地址
    unsigned short PacketType; ///< 包类型, ip或ARP等
};

PacketType=0x0008是IP包,PacketType=0x0608是ARP包。
之后的具体数据包信息根据协议进行解析即可。

上一篇 综合运用端口匹配、深度数据包检测、流量特征进行P2P流量识别

下一篇 塞林格《麦田里的守望者》读后感

域名迁移公告
2017年12月20日起,本博客迁移到新域名madaimeng.com,旧域名masikkk.com不再更新内容,但将永久保持可访问!
阅读
670
阅读预计3分钟
创建日期 2012-12-08
修改日期 2017-07-14
类别
百度推荐