超级会员免费看
本文详细介绍了网络通信数据包存储格式.pcap,包括Wireshark的pcapng格式,重点讲解了pcap文件的Global Header和Packet Header结构,以及Wireshark如何解析报文并添加frame层信息。通过对字段的解读,如magic_number、timestamp、snaplen等,帮助读者理解pcap文件的内容和用途。
本章介绍一下网络通信数据包常用的文件存储格式.pcap文件,有助于理解实际的通信数据存储格式。
即使对于已经使用过wireshark这款软件的同学,很多人其实并不是特别清楚pcap报文格式以及wireshark中所提供frame层的含义,相信通过这章可以让你get到这些新的知识点。
Wireshark默认的存储方式是pcap格式,最新版本的wireshark默认存储方式是pcapng。ng是next generation 的缩写,pcap和pcapng格式文件有是存在一定的差异。由于pcap格式文件非常的常见,同时理解了.pcap文件之后其实也非常的容易理解pcapng文件,因此为了兼顾老版本,本章就先介绍一下.pcap文件格式。文件格式总的来说其实都有固定的一种模式,使用文件头来表征具体的文件类型,通常是TLV结构,就是type,length,value缩写。 type就是告诉解码器文件的类型, length就是告诉解码器文件内容长度,value就是具体的内容数据。
图1即pcap报文文件结构示意图:
图1
- 1、Global Header是整个文件的文件头,包含文件格式标识,pcap格式版本号等文件指示信息。
订阅专栏 解锁全文
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
