pcap报文格式和wireshak中的frame层

最新推荐文章于 2025-09-06 17:53:59 发布
原创 最新推荐文章于 2025-09-06 17:53:59 发布 · 4.9k 阅读 · 12 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#pcap #wireshark #frame #pcap格式

本文详细介绍了Wireshark中Frame层的信息及其作用,并深入探讨了pcap文件格式,帮助读者理解如何通过Frame层提供的信息来分析网络数据。

       这篇文章是我早期写的,后来为了撰写专栏《wireshark从入门到精通》,我在此文章基础上对内容部分进行了新增和改动,新文章见这里,对于wireshark想深入了解的同学欢迎订阅查看。

       本文主要聊一聊pcap报文文件格式以及wireshark frame层的相关内容。

       使用wireshark查看报文的时候发现,wireshark解码后所提供的信息除了我们所知道的各种协议的层之外(诸如IP层,TCP层,HTTP层的数据),其实在最上层还有一个frame层,如图1所示:

这里写图片描述

图1

       从图1中可以看出该层所提供的信息包括两类,一类是没有中括号的,这类信息表示的是,从pcap数据报文本身能够提取的一些信息。像Encapsulation type: Ethernet (1)表示以太网的链路;Arrival Time: Apr 15, 2018 10:11:42.583288000以及Epoch Time: 1523758302.583288000 seconds表示获取报文的时间,只是两种不同的时间格式;Frame Length: 255 bytes (2040 bits)表示数据的长度,也就是根据协议这种类格式中length所得到的长度,和后面的Capture Length长度略有不同: Capture Length: 255 bytes (2040 bits)表示在网卡上所捕获的实际数据长度。通常情况下Frame Length和Capture Length 是相同的,但是如果Capture Length所捕获的数据有缺失,则Capture Length要比Frame Length要小一些。另外一类是带有中括号的,这类信息表示的是根据报文整体的分析所给出的辅助性信息。像[Protocols in frame: eth:ethertype:ip:tcp:ssl]这种信息就是根据报文解码分析所得到的,pcap本身并不含有这些字段信息。

       上述frame层中这些没有中括号的信息都是从pcap 报文中获取,但是又不是协议所提供的,这些信息不属于网络传输过程中传输协议数据或者传输内容数据的一部分,属于的是诸如winpcap 以及libpcap 这种用于抓取网络数据的库,在抓取数据时候将每一片的报文添加的一些头部信息中的内容,因此有必要简单介绍一些pap文件的构成,如图2所示。
这里写图片描述

图2

       在wireshark的官网,这里给出了pcap文件的存储格式,如图2。如同现有的文件格式包括我们所分析的各种协议,其实都有固定的一种模式,那就是tlv意思就是type,length,value。 之于文件来说,type就是告诉解码器文件的类型; length就是告诉解码器文件内容长度;value就是具体的内容数据。

       如图2所示,可以看到一个总的头部信息Global Header,以及每一片报文会有其对应的头部信息Packet Header,这些信息都是在形成pcap 报文的过程中主动写进去的,剩下的Packet Data表示抓取网络通信中的实际数据内容。分别解释一下Global Header以及Packet Header中个字段的含义。

       在wireshark官网中给出的Global Header头部包含如下各字段:

typedef struct pcap_hdr_s {
        guint32 magic_number;   /* magic number */
        guint16 version_major;  /* major version number */
        guint16 version_minor;  /* minor version number */
        gint32  thiszone;       /* GMT to local correction */
        guint32 sigfigs;        /* accuracy of timestamps */
        guint32 snaplen;        /* max length of captured packets, in octets */
        guint32 network;        /* data link type */
} pcap_hdr_t;

       给出的Packet Header头部包含如下各字段:

typedef struct pcaprec_hdr_s {
        guint32 ts_sec;         /* timestamp seconds */
        guint32 ts_usec;        /* timestamp microseconds */
        guint32 incl_len;       /* number of octets of packet saved in file */
        guint32 orig_len;       /* actual length of packet */
} pcaprec_hdr_t;

       下面的码流为使用sublime打开上述图1中frame38报文效果:

d4c3 b2a1 0200 0400 0000 0000 0000 0000
0000 0400 0100 0000 deb4 d25a 78e6 0800
ff00 0000 ff00 0000 fcd7 33ec 414a 446d
57bb 14a1 0800 4500 00f1 20e2 4000 8006
423e c0a8 0072 b461 216b ced2 01bb 5e7a
21d5 6546 e5be 5018 40b0 c8f6 0000 1603
0100 c401 0000 c003 0389 0bb6 3b80 f388
3965 716e b3d9 c374 258d 6ce3 ca20 6748
68dc d4d0 25e3 f3b2 1e00 001c 8a8a c02b
c02f c02c c030 cca9 cca8 c013 c014 009c
009d 002f 0035 000a 0100 007b baba 0000
ff01 0001 0000 0000 1200 1000 000d 7777

       Global Header中magic_number 为文件开始表示,一般为0xd4c3b2a1,同时头部字节需要交换读取顺序,如上述码流所示。如果我们在windows上使用nodepadd++以ANSI 格式编码(由于我使用的是中文操作系统,因此其对应编码方式应该是gbk)查看的时候,会显示前两个汉字为“悦病”,则是因为悦在gbk编码中为Oxd4c3,而病为0xb2a1(好像在gb2312 中病的编码为0xb2a0,这个略有不同)。version_major和version_minor一共4个字节表示大小版本号,即pcap格式版本,当前版本为2.4,如上。thiszone为4个字节的区域时间信息,默认为GMT,其值为0。sigfigs为4个字节的精确时间戳,通常默认为0。snaplen为4个字节的包最大长度描述的是允许抓取的每一片报文的最大长度,一般默认 ffff 0000 ,65535个字节即可以表示通常报文的最大长度,我这里面设置为 0400 0000(头部字节需要交换读取顺序)表示一个比较大的字节大小,如果想限制抓取每一片报文的长度,则可以设置。network为4个字节的链路类型,就是反应在frame 层中的Encapsulation type Ethemet(1)其值为1。

       每一片Packet Header中包括ts_sec和ts_usec共8 个字节的时间信息,体现在Frame 中主要是每一片报文的捕获时间,为 deb4 d25a 78e6 0800,转换后的时间为Apr 15, 2018 10:11:42.583288000,在一开始的图中则有体现;incl_len为4 个字节的捕获长度信息,以及orig_len为4个字节的实际长度信息,均为ff00 0000,转换为主机字节序表示255个字节长度。至于incl_len和orig_len的区别,在前面介绍frame层信息的时候已经阐述。

       当然frame虽然不是网络协议的一部分,但是wireshark却像各个协议一样为frame层提供了显示过滤器,供筛选报文之用,如图3:
这里写图片描述

图3

       通过上述的介绍应该可以对frame 层所提供的信息以及pcap文件格式有了总体的认识。

       本文为优快云村中少年原创文章,转载记得加上小尾巴偶,博主链接这里

报文格式-PCAP文件格式详解
村中少年的专栏
12-17 9112
分析pcap文件格式,在wireshark中显示了pcap文件头的一些信息
Wireshark lua 插件提取PCAP报文中文件,图片,视频
村中少年的专栏
01-08 7445
Wireshark提取离线包数据中的文件图片、视频等信息,通过wireshark lua插件来实现
网络通信的抓包分析
qq_39717454的博客
07-01 1万+
首先 ping 交大官网地址,可以 ping 202.117.1.13,也可以 ping www.xjtu.edu.cn,可到结果如下在 wireshark 中,搜索对应的 ip 地址 202.117.1.13,可得到结果如下分析可知,最初的源地址是 192.168.3.11,然后经过 icmp 协议,传到目的地址 202.117.1.13。其中,这个过程的初始时间为 ttl=128,每经过一个路...
wireshark使用
m0_56709806的博客
03-25 3732
目录 Frame:物理的数据帧概况 Ethernet ||:数据链路以太网帧头部信息 Internet Protocol Version 4:互联网IP包头部信息 Transmission Control Protocol:传输的数据段头部信息——TCP协议 七网络模型 Frame:物理的数据帧概况 Frame 13147: 54 bytes on wire (432 bits), 54 bytes captured (432 bits) on interfa...
Wireshark抓包工具使用以及数据包分析
whateverccc的博客
04-28 3980
-Frame 5: 66 bytes on wire (528 bits), 66 bytes captured(捕获) (528 bits) on interface 0 //5号帧,对方发送66字节,实际收到66字节-Interface id: 0 (\Device\NPF_{37239901-4A63-419C-9693-97957A8232CD}) //接口id为0 -Encapsulation type: Ethernet (1) //封装类型-Arrival Time: Jul
wireshark抓包分析(一)之物理Frame
weixin_38858749的博客
11-10 1万+
(1)Frame(物理): 物理的数据帧概况 (2)Ethernet II(链路): 数据链路以太网帧头部信息 (3)Internet Protocol Version 4(网络): 互联网IP包头部信息 (4)Transmission Control Protocol(传输): 传输T的数据段头部信息,此处是TCP (5)Hypertext Transfer Protocol(应用): 应用的信息,此处是HTTP协议 物理是OSI的第一,它虽然处于最底,却是整个开放系统.
关于wireshark抓包获取的Frame:物理的数据帧概况笔记
热门推荐
qq_35615083的博客
05-11 1万+
  Frame:物理的数据帧概况。  Ethernet II:数据链路以太网帧头部信息。  Internet Protocol Version 4:互联网IP包头部信息。  Transmission Control Protocol:传输的数据段头部信息,此处是TCP协议。  Hypertext Transfer Protocol:应用的信息,此处是HTTP协议。下面分别介绍下在图1.4...
【AI学习从零至壹】AI调用MCP抓包分析pcap原始报文
weixin_53831496的博客
08-10 1452
通过 API 令牌建立 Cherry Studio ModelScope 的通信,在ModelScope 网站选择创建 MCP-Server,然后在 Cherry Studio点同步服务器,就可以自动添加该 MCP-Server 到 Cherry Studio 中,但只仅限于host类型的。新的AI能力共享生态:通过MCP Server的共享,新的LLM应用可以快速获得各种工具,形成了一种新的合作体系,提高整体效用。LLM应用的快速扩展:随时“插拔”新的MCP Server即可,一个不够就再来一个。
Linux tcpdump,十六进制(hex)报文直接转wireshark格式包(docsis链路
zhanglimin
03-21 8433
1. 适用条件 适用于难把tcpdump文件从linux设备中抓下来,可以通过远程获得十六进制报文,直接转为wireshark格式。 tttttcpdumptcpdumptcpdump 2. 简略过程 tcpdump -xx -tt 直接把报文用十六进制打印出来 将报文导入软件TextToWiresharkFormat-v2.0.exe,转为wireshark报文 对于看DOCSIS...
如何利用 `Wireshark` 抓取`MySQL“网络`包,分析`SQL`请求`响应`的`延迟`?
最新发布
weixin_41455464的博客
09-06 1422
在捕获的数据包列表中,您会看到一系列 MySQL 数据包。但是,为了更精确地计算延迟,建议使用请求响应数据包的绝对时间戳。今天我们要探讨如何利用 Wireshark 抓取 MySQL 网络包,并分析 SQL 请求响应的延迟。接下来,我们需要执行一些 MySQL 查询,以便 Wireshark 可以捕获这些查询及其响应。在 Wireshark 窗口的下方,您可以看到数据包的详细信息。现在我们已经捕获了一些 MySQL 数据包,接下来我们将分析这些数据包以评估 SQL 请求的延迟。
frame】找上一
09-21 178
第一种:window.parent第二种:window.top 貌似两种都行 然后找上一iframe里面的js函数可以这么写: window.parent.functionName(param1, param2); 然后找上一里面的另一个框架里的html元素的话: window.parent.frames['topFrame'].document.getElementByI...
Frame报文
weixin_30888027的博客
01-08 422
链路帧常用的帧格式有两种:Ethernet II 与 IEEE802.3 Ethernet II 格式多用于终端设备的通信 IEEE802.3 格式多用于网络设备的通信 如何区分这两种报文: Lenth/Type >= 1536(0x0600)   则为Ethernet_II Lenth/Type <=1500(0x05DC)    则为IEEE802.3 Ty...
Wireshark 提示技巧 | frame.time_delta frame.time_delta_displayed
7ACE的博客
10-05 6647
Wireshark 提示技巧系列 | frame.time_delta frame.time_delta_displayed
Pcap获取报文
bdn_nbd的博客
03-10 1225
pcap使用指南
Wireshark抓包——数据链路
MSY的博客
11-12 1万+
文章目录所用软件数据链路操作一、 Ethernet 帧的结构 所用软件 Wireshark 点击所要抓包的网卡,这里我选择的是WLAN网卡,双击“WLAN"即可,如下 此时显示已启动抓包; 如果需要抓包某一特定的操作,例如,我要访问百度,即可打开Cmder(功能与windows下的自带命令行工具Cmd一样,输入如下命令: ping baidu.com 再返回Wireshark抓包界面,即可抓取相关数据包: 当数据包过多,可以在上方菜单栏设置过滤条件,此时百度的IP地址为39.156.69.79,即
基于wiresharkFrame报文详解
w849593893的博客
04-24 4092
基于wiresharkFrame报文详解 Frame 2: 67 bytes on wire (536 bits), 617 bytes captured (536 bits) 2号帧,线路617字节,实际捕获617字节 Encapsulation type: Ethernet (1) Arrival Time: Feb 22, 2020 10:32:37.375731000 捕获日期...
解析pcap抓包文件,包含pcap头、frame头、eth、ip、tcp/udp等。 C语言+python部分解析...
weixin_30920513的博客
02-26 1686
参考http://blog.youkuaiyun.com/koudaidai/article/details/7673082 首先看下最常见的包的次:frame是不是实际传输的数据,是tcpdump添加的一。eth如果显示linuxcooked的话是没有指定网卡抓包的原因需要tcpdump -i 指定网卡。 可能会有其他协议,自行添加即可。例如下图2 ...
Pcap文件详解
辞树
11-29 1万+
pcap文件是常用的数据报存储格式,可以理解为就是一种文件格式,只不过里面的数据是按照特定格式存储的,所以我们想要解析里面的数据,也必须按照一定的格式。普通的记事本打开pcap文件显示的是,用安装了HEX-Editor插件的Notepad++打开,能够以16进制数据的格式显示,或者使用sublime打开以十六进制的格式显示。用wireshark这种抓包工具就可以正常打开这种文件,愉快地查看里面的网络数据报了,同时wireshark也可以生成这种格式的文件。还有一些其他网络分析工具。
一种修改PCAP报文的简单方法
村中少年的专栏
08-16 5091
如何修改pcap数据包
wireshark解析pcap
04-27
<think>好的,用户想了解如何使用Wireshark解析pcap文件,需要步骤教程格式分析。我之前已经回答过类似的问题,现在需要根据系统级指令来组织内容。首先,要确保所有行内数学表达式用$...$,不过这里可能用不上数学公式,但要注意其他格式要求,比如独立代码块用```...```,正确的中文回答,生成相关问题,引用标识等。 用户的问题是关于Wireshark的使用,所以需要分步骤说明如何打开pcap文件,分析数据包结构,过滤搜索,查看协议细节,导出数据等。还要确保结构清晰,每个步骤有必要的子步骤说明。可能需要引用一些参考资料,但用户没有提供具体的引用来源,所以可能需要假设一些常见的引用,比如Wireshark官方文档或常见教程。 接下来,要检查是否有需要用到LaTeX的地方。比如在解释数据包结构时,如果有数学相关的部分,比如校验计算,可能会用到行内公式,例如$checksum = \sum(data)$,但不确定是否必要。不过Wireshark解析更多是协议分析,可能不需要数学表达式,所以可能可以忽略这部分,但需要确保其他格式正确。 然后生成相关问题,需要考虑用户可能的后续问题,比如如何过滤特定协议、使用显示过滤器、导出特定数据流、解决乱码问题、分析流量统计等。这些问题应该与主话题相关,并且帮助用户深入使用Wireshark。 还需要注意在回答中引用的地方加上引用标识,比如在提到协议字段解析时引用官方文档,但用户没有提供具体引用源,可能需要假设或省略,或者使用通用引用。根据示例,引用标识应放在句末,如[^1]。 最后,确保回答结构清晰,分步骤说明,每个步骤有子点代码块(例如显示过滤器的示例),使用中文,并且没有使用任何Markdown格式,除了代码块引用标识。检查LaTeX是否正确,但可能这里用不上,所以主要关注步骤的详细性准确性。</think>### Wireshark解析pcap文件步骤教程 #### 1. **打开pcap文件** - 启动Wireshark后,点击菜单栏的 **文件 > 打开**,选择目标pcap/pcapng文件 - 或直接拖拽文件到Wireshark窗口 - 支持协议包括HTTP、TCP/IP、DNS等常见协议[^1] #### 2. **数据包结构解析** ```plaintext Frame(物理帧信息) │ └─Ethernet(数据链路) │ └─IP(网络) │ └─TCP/UDP(传输) │ └─HTTP/DNS(应用) ``` - 点击**协议树面板**逐展开查看字段(如IP头的TTL、TCP的序列号) #### 3. **过滤与搜索** - **显示过滤器**(输入到顶部过滤栏): ```python tcp.port == 80 # 筛选HTTP流量 ip.src == 192.168.1.1 # 指定源IP http.request.method==GET# 仅显示GET请求 ``` - 右键数据包选择 **Follow > TCP Stream** 可重组会话内容 #### 4. **协议细节分析** - 在**字节流面板**查看原始16进制数据与ASCII解码结果 - 使用 **Analyze > Expert Info** 检查网络异常(如重传、乱序报文) #### 5. **导出特定数据** - 文件 > 导出特定分组:可提取过滤后的数据包 - 文件 > 导出对象 > HTTP:批量下载传输的文件
评论 3
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

村中少年

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值