借助WireShark解析PCAP包

最新推荐文章于 2025-09-10 14:14:48 发布
原创 最新推荐文章于 2025-09-10 14:14:48 发布 · 1.1w 阅读 · 12 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java #wireshark #pcap解析 #pcap包 #pcap

本文介绍了pcap包的概念,如何使用Wireshark查看pcap包,并详细说明了如何在Java程序中借助WireShark库进行后台pcap包的解析和查看。

本文主要分为以下几点:
1.什么是pcap包?
2.pcap包内容如何查看?
3.在java程序中借助WireShark进行解析,在后台查看

1.什么是pcap包

什么是pcap抓包
PCAP是一个数据包抓取库, 很多软件都是用它来作为数据包抓取工具的。 WireShark也是用PCAP库来抓取数据包的。PCAP抓取出来的数据包并不是原始的网络字节流,而是对其进行从新组装,形成一种新的数据格式。

2.pcap包如何打开查看

在window系统上直接用Wireshark就可以进行pcap包的查看以及在线进行pcap的抓取。
默认打开显示的时间是以微秒形式进行显示,查看起来不是很直观,所以需要对时间一列进行格式化。时间显示格式化

  • 通过frame.time>="2017-10-20 11:16:47.053237" and frame.time<="2017-10-20 11:16:48.168048"进行时间过滤

  • 过滤源ip、目的ip。过滤目标地址ip.dst==192.168.101.111;查找源地址为ip.src==192.168.101.111

  • 端口过滤。tcp.port==8080,把源端口和目的端口为8080的都过滤出来。tcp.dstport==8080只过滤目的端口为8080的,tcp.srcport==8080只过滤源端口为80的包[更多过滤规则]

pcap包解析内容和过滤方式

3.在java程序中借助WireShark进行解析,在后台查看

由于公司里面的测试环境是window环境,所以我采用的是在Java中使用Runtime和Process类运行WireShark程序进行pcap的解析。
linux环境运行WireShark

cmdPacp = "tshark -r  localFilePath  -T fields  -o gui.column.format:\"No.,%m,Time,%Yt,Source,%s,Destination,%d,Protocol,%p,Info,%i\" -e _ws.col.No. -e _ws.col.Time -e _ws.col.Source -e _ws.col.Destination -e _ws.col.Protocol -e _ws.col.Info -E header=y -E separator=, -E quote=d -E occurrence=f ";
process = Runtime.getRuntime().exec("cmd /c " + cmdPacp, null, new File(Constant.getPcapDiskLoc()));
注释
-r 指定要分析的.pcap文件
-T fields 说明要对.pcap文件中的fields进行提取
-T:输出到命令行界面
gui.column.format:对待打印的字段进行格式化
-T,-e: 指的是打印No、Time、Source、Destination、Protocol、Info;
-E: 当-T字段指定时,设置输出选项,header=y意思是头部要打印;
header=y :打印列表的字段名称使用
separator= :各个字段之间的分隔符
quote=d : d使用双引号,s的单引号,n没有引号(默认)
occurrence=f :择使用哪个发生多次出现的字段。如果f将使用第一次出现,如果l最后出现将使用如果出现将使用所有(这是默认的)

localFilePath 代表pcap包文件位置
new File(Constant.getPcapDiskLoc())代表WireShark在pc中的目录位置

cmdPacp = "tshark -r  " + localFilePath
                        + "  -T fields  -o gui.column.format:\"No.,%m,Time,%Yt,Source,%s,Destination,%d,Protocol,%p,Info,%i\" -e _ws.col.No. -e _ws.col.Time -e _ws.col.Source -e _ws.col.Destination -e _ws.col.Protocol -e _ws.col.Info -E header=y -E separator=, -E quote=d -E occurrence=f ";
                stopWatch.start();
                process = Runtime.getRuntime().exec("cmd /c " + cmdPacp, null, new File(Constant.getPcapDiskLoc()));
                BufferedReader br = new BufferedReader(new InputStreamReader(process.getInputStream(), "utf-8"));
                while ((s = br.readLine()) != null) {
                    pcap = createPcap(s);
                    //根据解析时间和样例指标时间归类
                    pcapToQuotaType(testingResultTime, pcap);
                    if (pcap != null) {
                        pcap.setTimetamp(timetamp);
                        save(pcap);
                    }
                    // System.out.println(s);
                }
                process.waitFor();
                stopWatch.stop();
private Pcap createPcap(String string) {
        String[] pacpInfos = string.split(",");
        if (StringUtil.isEmpty(StringUtil.removeQuotes(pacpInfos[2]))
                || StringUtil.isEmpty(StringUtil.removeQuotes(pacpInfos[3])))
            return null;
        if (string.contains("_ws"))
            return null;
        Pcap pcap = new Pcap();
        pcap.setNoIndex(Integer.parseInt(StringUtil.removeQuotes(pacpInfos[0])));
        pcap.setTime(StringUtil.removeQuotes(pacpInfos[1]));
        pcap.setSource_address(StringUtil.removeQuotes(pacpInfos[2]));
        pcap.setTarget_address(StringUtil.removeQuotes(pacpInfos[3]));
        pcap.setAgreement(StringUtil.removeQuotes(pacpInfos[4]));
        pcap.setInfos(StringUtil.removeQuotes(pacpInfos[5]));
        return pcap;
    }
/**
     * 获取pcap解析结果细节中的frame 编号
     * @param targertStr
     * @return
     */
    private  String extractNoIndex(String targertStr){
        String firstLineStr = targertStr.substring(0,30);
        String freameStr = firstLineStr.split(":")[0];
        String templeteStr = "Frame ";
        return freameStr.substring(templeteStr.length(), freameStr.length());
    }

后台效果如下图显示:

1.列表展示效果图
这里写图片描述

2.列表中某条的详细解析细节信息
这里写图片描述

Wireshark抓的,DeepSeek能正确分析出来吗?
网络技术联盟站
04-25 593
Wireshark是一款开源的网络协议分析工具,堪称网络工程师的“左膀右臂”。它能捕获网络接口上的数据,并以直观的方式展示协议分层、数据内容和通信细节。无论是HTTP的明文请求、TCP的三次握手,还是加密的TLS流量,Wireshark都能让你一览无余。🌐Wireshark的核心功能在于“抓”与“解析”。它通过捕获网卡上的数据帧,将网络通信的每一个细节记录下来。抓后,Wireshark会将这些数据解码为人类可读的格式。
Wireshark数据分析——wireshark0051.pcap
panda.
06-21 1325
有题有解析,要环境私信我 B-2:Wireshark数据分析 1.从靶机服务器的FTP上下载wireshark0051.pcap数据文件,找出黑客获取到的可成功登录目标服务器FTP的账号密码,并将黑客获取到的账号密码作为Flag值(用户名与密码之间以英文逗号分隔,例如:root,toor)提交;2.继续分析数据wireshark0051.pcap,找出黑客使用获取到的账号密码登录FTP的时间,并将黑客登录FTP的时间作为Flag值(例如:14:22:08)提交;...
使用wireshark分析tcpdump出来的pcap文件
zeze_Z的博客
02-27 2万+
个人认为tcpdump+wireshark是很精确的,之前在网上查阅移动端流量测试,大多讲tcpdump这部分很精细,但是没有讲到详细使用wireshark分析tcpdump到的.pcap文件,这里做一个详细的讲解,仅供大家参考。
基于WinPcap解析PCAP文件实战
最新发布
weixin_31139479的博客
09-10 1189
WinPcap(Windows Packet Capture)是一个基于Windows平台的开源网络数据捕获库,广泛应用于网络监控、协议分析、入侵检测系统(IDS)及流量分析等领域。它基于BPF(Berkeley Packet Filter)机制,提供了高效的底层数据捕获能力,并通过统一的API接口供上层应用程序调用。其核心功能括:支持原始数据的捕获与发送、过滤表达式的应用(如BPF语法)、实时流量统计与分析,以及PCAP文件的读写操作。
wireshark读写pcap文件_使用wireshark分析tcpdump出来的pcap文件
weixin_39717110的博客
12-20 1347
工作中的常用用法一、tcpdump常用用法:1,-i 指定网口 -vnn 常用选项,显示详细信息并且不解析IP,端口 ;抓取某个网口上发往或来自某个IP的报文tcpdump -i ethX host 192.168.1.100 -vnn2,可以用or 或者and 连接多个过滤条件,port前的tcp表示tcp协议,也可为udp;抓取某个网口上发往或来自某个IP、并且指定端口的报文tcpdump -...
Wireshark文件pcap的格式详细解析有实例(Global Header、Packet Header)
Hollake的博客
05-12 2万+
前言 毕设做的是流量的预处理方面的东西,处理的文件都是pcap文件,在处理的过程中需要对文件进行裁剪、剪切等工作,提取出需要的信息,所以一定得对pcap文件的数据结构很了解。下面就根据其他资料来学习总结一下pcap的文件格式,并举出实例来进行学习。 pcap文件格式 pcap文件数据结构如下图所示,每个pcap文件都是由Global Header、Packet Header、Packet D...
pcap文件分析的学习
pippo2009201703的专栏
03-28 3696
最近要做关于网络监控方面的东西,首先来了解下pcap文件的格式。在网上搜索的资料,转载到这里,方便查阅。以下内容转自:http://blog.sina.com.cn/s/blog_63f185f50100gzek.html和http://www.ebnd.cn/2009/09/07/file-format-analysis-of-wireshark-pcap/pcap文件格式是常用的数据报
Wireshark分析pcap文件
weixin_30457881的博客
07-29 2850
原文地址 https://www.cnblogs.com/bass6/p/5819928.html [root@ok Desktop]# yum search tcpdump Loaded plugins: fastestmirror, refresh-packagekit, security Loading mirror speeds from cached hostf...
wirshark抓产生的pcap文件分析
Solstice_的博客
11-17 1944
pcap文件是常用的数据报存储格式,可以理解为就是一种文件格式,只不过里面的数据是按照特定格式存储的,所以我们想要解析里面的数据,也必须按照一定的格式。
wireshark分析
weixin_33785108的博客
06-15 490
wireshark分析 wireshark是非常流行的网络封分析软件,功能十分强大。可以抓取各种网络,并显示网络的详细信息。 开始界面 wireshark是捕获机器上的某一块网卡的网络,当你的机器上有多块网卡的时候,你需要选择一个网卡。 点击Caputre->Interfaces..出现下面对话框,选择正确的网卡。然后点击"St...
WireSharkpcap文件格式分析
热门推荐
vyCode
02-22 2万+
在拆的过程中,我们必须要对WireShark截获的数据的格式(即.pcap后缀的文件)有很清楚的了解,所以就把今天所学记录下来,以飨后来者。 一、结构体说明 pcap.h里定义了文件头的格式 struct pcap_file_header {         bpf_u_int32 magic;         u_short version_major;         u_
wireshark pcap分析
01-22
wireshark pcap文件详解 wireshark shi pcap文件 格式分解分析进行协议还原
PCAP文件的解析软件
07-12
具备WIRESHARK的大部分功能,主要是指针的偏移来完成的。对初学者有一定的帮助。
pcap文件解析,并且按照五元组分类
06-14
这两个库提供了API来读取和解析pcap文件。这里我们以pcap4j为例,它是一个纯Java实现的库,能够方便地处理pcap文件。 1. **使用pcap4j解析pcap文件**: - 引入pcap4j库到项目中,可以通过Maven或Gradle添加依赖。 ...
深度解析:利用 MCP 与 Wireshark 进行 PCAP分析实战
分享平时的学习心得和笔记
06-09 1095
在数字化探索的征程中,网络抓分析无疑是一项极具价值的技能,它能帮助我们洞察网络数据的流动奥秘,定位问题、优化性能,甚至挖掘安全风险。
wireshark pcap文件解析
08-26
- *3* [借助WireShark解析PCAP](https://blog.youkuaiyun.com/q35222806/article/details/78817811)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_...
pcap数据的packet转成文本的几种方法
村中少年的专栏
02-25 1467
本文将介绍一下通过手动和自动化的方法将pcap数据的packet导出为hex dump,json这两种形式。
wirehark数据分析与取证B.pcap
Aluxian_的博客
04-15 5959
什么是wiresharkWireshark(前称Ethereal)是一个网络封分析软件。网络封分析软件的功能是检索取网络封,并同时显示出最详细的网络封数据。Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。 wireshark的介绍: 假设您是一名网络安全工程师,需要对某公司的公司进行数据分析分析黑客获取电脑权限进行的操作,我们本章主要以分析案例数据进行分析关键数据。 1.通过分析虚拟机windows 7桌面上的数据B.pcapng,找到数据库里的flag最后一个字
wireshark解析pcap文件结果分析
qq_55207368的博客
03-11 1664
•。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值