pcap文件是网络抓包得到的文件,可通过pcap抓包程序、wireshark等抓包然后保存成.pcap文件得到。
文件格式:文件头 数据包头 数据包 数据包头 数据包 。。。。。。如下图(TCP协议的):
文件头格式:
magic为文件识别头,pcap固定为:0xA1B2C3D4。(4个字节)
magor version为主版本号(2个字节)
minor version为次要版本号(2个字节)
timezone为当地的标准时间(4个字节)
sigflags为时间戳的精度(4个字节)
snaplen为最大的存储长度(4个字节)
linktype为链路类型(4个字节)
常用类型:
0 BSD loopback devices, except for later OpenBSD
1 Ethernet, and Linux loopback devices
6 802.5 Token Ring
7 ARCnet
8 SLIP
9 PPP
10 FDDI
100 LLC/SNAP-encapsulated ATM
101 “raw IP”, with no link
102 BSD/OS SLIP
103 BSD/OS PPP
104 Cisco HDLC
105 802.11
108 later OpenBSD loopback devices (with the AF_value in network byte order)
113 special Linux “cooked” capture
114 LocalTalk
1 Ethernet, and Linux loopback devices
6 802.5 Token Ring
7 ARCnet
8 SLIP
9 PPP
10 FDDI
100 LLC/SNAP-encapsulated ATM
101 “raw IP”, with no link
102 BSD/OS SLIP
103 BSD/OS PPP
104 Cisco HDLC
105 802.11
108 later OpenBSD loopback devices (with the AF_value in network byte order)
113 special Linux “cooked” capture
114 LocalTalk
数据包头格式:
Timestamp:时间戳高位,精确到seconds(4个字节)
Timestamp:时间戳低位,精确到microseconds(4个字节)
Caplen:抓取到的数据帧长度,由此可以得到下一个数据帧的位置(4个字节)
Len:网络中实际数据帧的长度,一般不大于caplen,多数情况下和Caplen数值相等(4个字节)
数据包格式:
一个数据包就是链路层的一帧,由各层协议的协议头包裹着后面的数据包载荷。