pcap文件解析

看了很久终于搞清楚怎么解析pcap文件啦~以前的一个版本是我把pcap包保存成.txt，删除冗余项，然后再依照格式读入，输出相应格式。后来，我发现其他同学都是用.pcap格式直接读入的，然后我就不懂了，直接读入的pcap文件格式应该是什么样子的？根据实战经验，应该就是网上各种教程解析的那种格式，根据那种格式按字节读入就可以啦！下面上代码：

这个是pcap.h 里面定义了pcap文件的主要结构体。

#include<afx.h>
#include<stdio.h>
#include<direct.h>
#include<iostream>
#include<cstring>
using namespace std;
#include<stdlib.h>
#include<math.h>
#include <winsock2.h>
#pragma  comment(lib,"ws2_32.lib")
typedef long int32;
typedef unsigned long u_int32;
typedef unsigned short u_int16;
typedef unsigned char u_int8;
//pcap文件头结构
typedef struct pcap_file_header{
	u_int32 magic;//标识位
	u_int16 version_major;//主版本号
	u_int16 version_minor;//副版本号
	int32 thiszone;//区域时间
	u_int32 sigfigs;//精确时间戳
	u_int32 snaplen;//数据包最大长度
	u_int32 linktype;//链路层类型
}pcapFileHeader;
//packet数据包头文件
typedef struct pcap_packet_header{
	int32 sec;//秒计时时间戳
	int32 microsec;//微秒计时时间戳
	u_int32 caplen;//数据包长度，即所捕获的数据包保存在pcap文件中的实际长度
	u_int32 len;//数据包实际长度，即所捕获的数据包的真实长度
}pcapPacketHeader;
//捕获的以太网帧头
typedef struct ehternet_header{
	u_int8 dstMac[6];//目的Mac地址
	u_int8 srcMac[6];//源Mac地址
	u_int16 type;//帧类型
}ehternetHeader;
//IP数据报头
typedef struct ip_header{
	u_int8 ver_hlen;//版本+报头长度
	u_int8 typeOfService;//服务类型
	u_int16 totalLen;//总长度
	u_int16 id;//标识
	u_int16 flag_Segment;//标志+片偏移
	u_int8 ttl;//生存期
	u_int8 protocol;//协议类型
	u_int16 checksum;//校验和
	struct in_addr srcIP;//源IP地址
	struct in_addr dstIP;//目的IP地址
}ipHeader;
//TCP数据报头
typedef struct tcp_header{
	u_int16 srcPort;//源端口
	u_int16 dstPort;//目的端口
	u_int32 seqNO;//序列号
	u_int32 ackNO;//确认号
	u_int8 headerLen;//数据报头长度+保留
	u_int8 flags;//标识TCP不同的控制消息
	u_int16 window;//窗口大小
	u_int16 checkSum;//校验和
	u_int16 urgentPointer;//紧急指针
}tcpHeader;
//UDP数据报头
typedef struct udp_header{
	u_int16 srcPort;//源端口
	u_int16 dstPort;//目的端口
	u_int16 len;//UDP首部长度+UDP数据长度
	u_int16 checkSum;//UDP校验和
}udpHeader;
void readPacket(CString inputPath,CString outputPath);//读pcap文件
void writetcp(ipHeader *ipHead,tcpHeader *tcpHead,char *outputPath);//写入TCP
void writeudp(ipHeader *ipHead,udpHeader *udpHead,char *outputPath);//写入UDP

下面的是pcap.cpp文件，就是具体的实现函数了

#include "StdAfx.h"
#include"pcap.h"
FILE *fp=NULL;
FILE *output=NULL;
FILE *pcapfp=NULL;
void readPacket(CString inputPath,CString outputPath){
	int pkt_offset;
	pcapFileHeader *fileHeader;
	pcapPacketHeader *packetHeader;
	ehternetHeader *ehHeader;
	ipHeader *ipHead;
	tcpHeader *tcpHead;
	udpHeader *udpHead;
	fileHeader=(pcapFileHeader *)malloc(sizeof(pcapFileHeader));
	packetHeader=(pcapPacketHeader *)malloc(sizeof(pcapPacketHeader));
	ehHeader=(ehternetHeader *)malloc(sizeof(ehternetHeader));
	ipHead=(ipHeader *)malloc(sizeof(ipHeader));
	tcpHead=(tcpHeader *)malloc(sizeof(tcpHeader));
	udpHead=(udpHeader *)malloc(sizeof(udpHeader));
	inputPath.Replace(L"\\",L"\\\\");
	outputPath.Replace(L"\\",L"\\\\");
        //以下是将CString格式转化为char*  注意使用Unicode字符集和使用多字节字符集的转化方法不一样
       int n=inputPath.GetLength(); //按字符计算，str的长度
	int len=WideCharToMultiByte(CP_ACP,0,inputPath,n,NULL,0,NULL,NULL);//按Byte计算str长度
	char *s1 = new char[len+1];//按字节为单位
	WideCharToMultiByte(CP_ACP,0,inputPath,n,s1,len,NULL,NULL);//宽字节转换为多字节编码
	s1[len] = '\0';//不要忽略末尾结束标志
	n=outputPath.GetLength(); //按字符计算，str的长度
	len=WideCharToMultiByte(CP_ACP,0,outputPath,n,NULL,0,NULL,NULL);//按Byte计算str长度
	char *s2 = new char[len+1];//按字节为单位
	WideCharToMultiByte(CP_ACP,0,outputPath,n,s2,len,NULL,NULL);//宽字节转换为多字节编码
	s2[len] = '\0';//不要忽略末尾结束标志
	fp=fopen(s1,"rb");
	if(fp==NULL){
		printf("no pacp file");
	}
	pkt_offset=24;
	while(fseek(fp,pkt_offset,SEEK_SET)==0&&feof(fp)==0){
		if(fread(packetHeader,sizeof(pcapPacketHeader),1,fp)!=1){
			break;
		}
		pkt_offset+=16+packetHeader->caplen;
		if(fread(ehHeader,sizeof(ehternetHeader),1,fp)!=1){
			break;
		}
		else if(ntohs(ehHeader->type)!=0x0800){
			continue;
		}
		if(fread(ipHead,sizeof(ipHeader),1,fp)!=1){
			break;
		}
		if(ipHead->protocol==0x06){
			if(fread(tcpHead,sizeof(tcpHeader),1,fp)!=1){
				break;
			}
			writetcp(ipHead,tcpHead,s2);
		}
		if(ipHead->protocol==0x11){
			if(fread(udpHead,sizeof(udpHeader),1,fp)!=1){
				break;
			}
			writeudp(ipHead,udpHead,s2);
		}
	}
	fclose(fp);
}
void writetcp(ipHeader *ipHead,tcpHeader *tcpHead,char *outputPath){
	char *savePath=(char *)malloc(1024);
	u_int *fileheader=NULL;
	char path1[1024],path2[1024];
	strcpy(path1, inet_ntoa(ipHead->srcIP));
	strcpy(path2, inet_ntoa(ipHead->dstIP));
	sprintf(savePath,"%s\\\\TCP",outputPath);
	_mkdir(savePath);
	sprintf(savePath,"%s\\\\TCP\\\\tcp[%s][%d][%s][%d].txt",outputPath,path1,ntohs(tcpHead->srcPort),path2,ntohs(tcpHead->dstPort));
	output=fopen(savePath,"a+");
	fprintf(output,"[源端口]:%d\n[目的端口]:%d\n[序号]:%d\n[确认号]:%d\n[数据报头长度]:%d\n[控制消息]:%d\n[窗口大小]:%d\n[校验和]:%d\n[紧急指针]:%d\n\n\n\n\n",ntohs(tcpHead->srcPort),ntohs(tcpHead->dstPort),ntohs(tcpHead->seqNO),ntohs(tcpHead->ackNO),ntohs(tcpHead->headerLen),ntohs(tcpHead->flags),ntohs(tcpHead->window),ntohs(tcpHead->checkSum),ntohs(tcpHead->urgentPointer));
	fclose(output);
}
void writeudp(ipHeader *ipHead,udpHeader *udpHead,char *outputPath){
	char *savePath=(char *)malloc(1024);
	char path1[1024],path2[1024];
	strcpy(path1, inet_ntoa(ipHead->srcIP));
	strcpy(path2, inet_ntoa(ipHead->dstIP));
	sprintf(savePath,"%s\\\\UDP",outputPath);
	_mkdir(savePath);
	sprintf(savePath,"%s\\\\UDP\\\\udp[%s][%d][%s][%d].txt",outputPath,path1,ntohs(udpHead->srcPort),path2,ntohs(udpHead->dstPort));
	output=fopen(savePath,"a+");
	fprintf(output,"[源端口]:%d\n[目的端口]:%d\n[长度]:%d\n[校验和]:%d]\n\n\n\n\n",ntohs(udpHead->srcPort),ntohs(udpHead->dstPort),ntohs(udpHead->len),ntohs(udpHead->checkSum));
	fclose(output);
}

实现遇到的主要问题是把文件路径从CString格式转为char*，因为使用的是Unicode字符集，所以搜索的时候需要特别注明

还有就是第一次输出结果不正确，后来发现是因为没有把读入的数据转为主机字节顺序，用网络字节顺序计算，结果当然不对啦。要用ntohs()函数。

这个函数的输出是TCP和UDP两个文件夹，里面分别存放了TCP和UDP协议对应的包信息。

这是路径下的文件夹：

这是TCP文件打开的样子

这是打开.txt文件的样子：

UDP文件夹是一样的啦~

还有，推荐一个超赞的MFC教程：

http://blog.sina.com.cn/s/blog_671f486a0102voqr.html