前面24個(gè)字節(jié)是.cap文件的文件頭。
頭信息對應(yīng)的結(jié)構(gòu)體為:
struct pcap_file_header {
? bpf_u_int32 magic;
? u_short version_major;
? u_short version_minor;
? bpf_int32 thiszone; /* gmt to local correction */
? bpf_u_int32 sigfigs; /* accuracy of timestamps */
? bpf_u_int32 snaplen; /* max length saved portion of each pkt */
? bpf_u_int32 linktype; /* data link type (LINKTYPE_*) */
};
cap文件中的linktype很重要,不同的網(wǎng)絡(luò)環(huán)境下抓包,數(shù)據(jù)幀的幀頭是不一樣的。
在局域網(wǎng)內(nèi)抓包,linktype為1 ( DLT_EN10MB, Ethernet (10Mb) ),以太網(wǎng)的幀頭就是兩個(gè)網(wǎng)卡物理地址;
如果直接用ADSL撥號上線,則linktype為9 ( DLT_PPP, Point-to-point Protocol),數(shù)據(jù)幀頭為PPP協(xié)議。
關(guān)于linktype支持的類型,可以參考pcap-bpf.h中定義的以DLT_開頭的宏。
========================================================================
頭信息后是順序的每個(gè)數(shù)據(jù)段的信息,每個(gè)數(shù)據(jù)段中包含抓包時(shí)間、包類型等信息,然后是包的內(nèi)容。
struct pcap_pkthdr {
struct timeval ts; /* time stamp */
bpf_u_int32 caplen; /* length of portion present */
bpf_u_int32 len; /* length this packet (off wire) */
};
ts為抓包的時(shí)間;
caplen和len我發(fā)現(xiàn)一般都是一樣的。(什么情況下會不一樣還沒搞懂)
16字節(jié)的數(shù)據(jù)段頭之后就是包的信息了。例子中的包信息是局域網(wǎng)中抓的,所以是以太網(wǎng)幀頭,結(jié)構(gòu)體如下:
struct EthernetPacket
{
char MacDst[6]; ///< 目的網(wǎng)卡物理地址
char MacSrc[6]; ///< 源網(wǎng)卡物理地址
unsigned short PacketType; ///< 包類型, ip或ARP等
};
PacketType=0x0008是IP包,PacketType=0x0608是ARP包。
?
紅色框內(nèi)為?pcap_file_header?
綠色框內(nèi)為?pcap_pkthdr
后面為包內(nèi)數(shù)據(jù)
注意兩個(gè)長度,一個(gè)是高位在后,一個(gè)是高位在前,后邊長度不包含IP頭長度
?
更多文章、技術(shù)交流、商務(wù)合作、聯(lián)系博主
微信掃碼或搜索:z360901061
微信掃一掃加我為好友
QQ號聯(lián)系: 360901061
您的支持是博主寫作最大的動力,如果您喜歡我的文章,感覺我的文章對您有幫助,請用微信掃描下面二維碼支持博主2元、5元、10元、20元等您想捐的金額吧,狠狠點(diǎn)擊下面給點(diǎn)支持吧,站長非常感激您!手機(jī)微信長按不能支付解決辦法:請將微信支付二維碼保存到相冊,切換到微信,然后點(diǎn)擊微信右上角掃一掃功能,選擇支付二維碼完成支付。
【本文對您有幫助就好】元
