前面24個字節是.cap文件的文件頭。
頭信息對應的結構體為:
struct pcap_file_header {
? bpf_u_int32 magic;
? u_short version_major;
? u_short version_minor;
? bpf_int32 thiszone; /* gmt to local correction */
? bpf_u_int32 sigfigs; /* accuracy of timestamps */
? bpf_u_int32 snaplen; /* max length saved portion of each pkt */
? bpf_u_int32 linktype; /* data link type (LINKTYPE_*) */
};
cap文件中的linktype很重要,不同的網絡環境下抓包,數據幀的幀頭是不一樣的。
在局域網內抓包,linktype為1 ( DLT_EN10MB, Ethernet (10Mb) ),以太網的幀頭就是兩個網卡物理地址;
如果直接用ADSL撥號上線,則linktype為9 ( DLT_PPP, Point-to-point Protocol),數據幀頭為PPP協議。
關于linktype支持的類型,可以參考pcap-bpf.h中定義的以DLT_開頭的宏。
========================================================================
頭信息后是順序的每個數據段的信息,每個數據段中包含抓包時間、包類型等信息,然后是包的內容。
struct pcap_pkthdr {
struct timeval ts; /* time stamp */
bpf_u_int32 caplen; /* length of portion present */
bpf_u_int32 len; /* length this packet (off wire) */
};
ts為抓包的時間;
caplen和len我發現一般都是一樣的。(什么情況下會不一樣還沒搞懂)
16字節的數據段頭之后就是包的信息了。例子中的包信息是局域網中抓的,所以是以太網幀頭,結構體如下:
struct EthernetPacket
{
char MacDst[6]; ///< 目的網卡物理地址
char MacSrc[6]; ///< 源網卡物理地址
unsigned short PacketType; ///< 包類型, ip或ARP等
};
PacketType=0x0008是IP包,PacketType=0x0608是ARP包。
?
紅色框內為?pcap_file_header?
綠色框內為?pcap_pkthdr
后面為包內數據
注意兩個長度,一個是高位在后,一個是高位在前,后邊長度不包含IP頭長度
?
更多文章、技術交流、商務合作、聯系博主
微信掃碼或搜索:z360901061
微信掃一掃加我為好友
QQ號聯系: 360901061
您的支持是博主寫作最大的動力,如果您喜歡我的文章,感覺我的文章對您有幫助,請用微信掃描下面二維碼支持博主2元、5元、10元、20元等您想捐的金額吧,狠狠點擊下面給點支持吧,站長非常感激您!手機微信長按不能支付解決辦法:請將微信支付二維碼保存到相冊,切換到微信,然后點擊微信右上角掃一掃功能,選擇支付二維碼完成支付。
【本文對您有幫助就好】元
