wireshark pcap分析
4星 · 超过85%的资源 需积分: 50 11 浏览量
2013-01-22
15:50:30
上传
评论 1
收藏 217KB DOC 举报 
Pcap 文件格式和 WireShark
PCAP 是一个数据包抓取库, 很多软件都是用它来作为数据包抓取工具的。 WireShark 也
是用 PCAP 库来抓取数据包的。PCAP 抓取出来的数据包并不是原始的网络字节流,而是
对其进行从新组装,形成一种新的数据格式。
一个用 PCAP 抓取的数据包的文件格式如下:
Pcap
文件头
24B 各
字段说
明:
Magic
:
4B:
0x1A 2B 3C 4D:用来标示文件的开始
Major:2B,0x02 00:当前文件主要的版本号
Minor:2B,0x04 00 当前文件次要的版本号
ThisZone:4B 当地的标准时间;全零
SigFigs:4B 时间戳的精度;全零
SnapLen:4B 最大的存储长度
LinkType:4B 链路类型
常用类型:
0 BSD loopback devices, except for later OpenBSD
1 Ethernet, and Linux loopback devices
6 802.5 Token Ring
7 ARCnet
8 SLIP
9 PPP
10 FDDI
100 LLC/SNAP-encapsulated ATM
101 "raw IP", with no link
102 BSD/OS SLIP
103 BSD/OS PPP
104 Cisco HDLC
105 802.11
108 later OpenBSD loopback devices (with the AF_value in network byte order)
113 special Linux "cooked" capture
114 LocalTalk
其中我们最为常见的类型就是 1,以太网链路。
资源评论
hslhct2013-10-25不错的代码~参考做毕业论文
guangxian6062013-10-31主要讲了一下pcap文件的格式,要是能把tcp协议如何还原的再详细介绍一下就好了。
flexble2015-02-02了解了pcap内容,对于我学习拆包和组包有帮助
