Pcap 文件格式和 WireShark
PCAP 是一个数据包抓取库, 很多软件都是用它来作为数据包抓取工具的。 WireShark 也是用 PCAP 库来抓取数
据包的。PCAP 抓取出来的数据包并不是原始的网络字节流,而是对其进行从新组装,形成一种新的数据格式。
一个用 PCAP 抓取的数据包的文件格式如下:
Pcap 文件头 24B 各字段说明:
Magic:4B:0x1A2B3C4D:用来标示文件的开始
Major:2B,0x0200:当前文件主要的版本号
评论5