PCAP格式文件及解析说明

第一部分： 包文件格式

一 基本格式：

文件头 数据包头数据报数据包头数据报

二、文件头：



文件头结构体





 #$

%



说明：



&、标识位：'( 位的，这个标识位的值是 &) 进制的 *+&,('-。

'(., ,/0 ,+&,('-

(、主版本号：&) 位， 默认值为 *+(。

&).,!  ,/0!  ,

(

4、精确时间戳：'( 位，实际上该值并未使用，因此可以将该值设置为 *。

'(.,$ $/$ 2 

,,$3!#*

)、数据包最大长度：'( 位，该值设置所抓获的数据包的最大长度，如果所有数据包都要

抓获，将该值设置为 )44'4；例如：想获取数据包的前 )- 字节，可将该值设置为 )-。

'(.,  560  ,

+ ,7,$#8,97 

#/#)44'47$ $/7+/

)-,$7#/#)-

:、链路层类型：'( 位， 数据包的链路层包头决定了链路层的类型。

&> / ? +,#以太网类型，大多数的数据包为这

种类型。

)@*(40#  

: 

@=?9

A

&*B9

&**??C=D. 0

&*'<=C=

&*@ <=,#28B  8#,$

3

&&'? +#

&&-?0#

三 # 数据包头：





