vyCode

这几天在公司做项目要用到WinPcap，但在实现的过程中，需要分析捕获的数据包，恰好用到了大学时学习的计算机网络课程。现初步总结了几个网络协议及其格式：一、MAC协议在局域网中，硬件地址又称为物理地址或MAC地址(因为这种地址用在MAC帧中)。大家知道，在所有计算机系统的设计中，标识系统(identification system)都是一个核心问题。在标识系统中，地址就是为识别某个

一、层次化的数据包协议分析方法　　取得捕包函数捕回的数据包后就需要进行协议分析和协议还原工作了。由于OSI的7层协议模型，协议数据是从上到下封装后发送的。对于协议分析需要从下至上进行。首先对网络层的协议识别后进行组包还原然后脱去网络层协议头。将里面的数据交给传输层分析，这样一直进行下去直到应用层: IP / \ TCP UDP /     \  HTTP     TFT

在拆包的过程中，我们必须要对WireShark截获的数据包的格式(即.pcap后缀的文件)有很清楚的了解，所以就把今天所学记录下来，以飨后来者。一、结构体说明pcap.h里定义了文件头的格式struct pcap_file_header {        bpf_u_int32 magic;        u_short version_major;        u_

当你在Windows或者Linux环境下用tcpdump命令抓取数据包时，你将得到如下格式的tcpdump文件：文件头| 数据包头 | 链路层数据 | 数据包头 | 链路层数据 | 数据包头 | 链路层数据 |......1. 文件头：每一个文件都以一个24字节的文件头开头。前四个字节是tcpdump文件标志“A1 B2 C3 D4”或为“D4 C3 B2 A1”。2. 数据包头 |