pcap文件格式

最新推荐文章于 2022-10-01 10:46:44 发布

xtx1990

最新推荐文章于 2022-10-01 10:46:44 发布

阅读量688

点赞数

分类专栏： linux网络编程 linux-network

linux-network 同时被 2 个专栏收录

28 篇文章

订阅专栏

linux网络编程

24 篇文章

订阅专栏

pcap文件格式是bpf保存原始数据包的格式，很多软件都在使用，比如tcpdump、wireshark等等，
了解pcap格式可以加深对原始数据包的了解，自己也可以手工构造任意的数据包进行测试。

pcap文件的格式为：
文件头 24字节
数据包头 + 数据包数据包头为16字节，后面紧跟数据包
数据包头 + 数据包 ......

pcap.h里定义了文件头的格式
struct pcap_file_header {
        bpf_u_int32 magic;
        u_short version_major;
        u_short version_minor;
        bpf_int32thiszone;     /* gmt to local correction */
        bpf_u_int32sigfigs;    /* accuracy of timestamps */
        bpf_u_int32snaplen;    /* max length saved portion of each pkt */
        bpf_u_int32 linktype;   /*data link type (LINKTYPE_*) */
};

看一下各字段的含义：
magic：   4字节 pcap文件标识目前为“d4 c3 b2 a1”
major：   2字节主版本号     #define PCAP_VERSION_MAJOR 2
minor：   2字节次版本号     #define PCAP_VERSION_MINOR 4
thiszone：4字节时区修正    并未使用，目前全为0
sigfigs： 4字节精确时间戳   并未使用，目前全为0
snaplen： 4字节抓包最大长度如果要抓全，设为0x0000ffff（65535），
          tcpdump -s 0就是设置这个参数，缺省为68字节
linktype：4字节链路类型   一般都是1：ethernet

以下是数据值与链路层类型的对应表

0 BSD loopback devices, except for laterOpenBSD

1 Ethernet, and Linux loopback devices 以太网类型，大多数的数据包为这种类型。

6 802.5 Token Ring

7 ARCnet

8 SLIP

9 PPP

10 FDDI

100 LLC/SNAP-encapsulated ATM

101 raw IP, with no link

102 BSD/OS SLIP

103 BSD/OS PPP

104 Cisco HDLC

105 802.11

108 later OpenBSD loopback devices (with the AF_value in network byte order)

113 special Linux cooked capture

114 LocalTalk

例如:

数据包头的格式
struct pcap_pkthdr {
        struct timevalts;      /* time stamp */
        bpf_u_int32caplen;     /* length of portion present */
        bpf_u_int32 len;       /* length this packet (off wire) */
};
struct timeval {
       long           tv_sec;         /* seconds (XXX shouldbe time_t) */
        suseconds_t    tv_usec;        /* and microseconds */
};
ts：   8字节抓包时间 4字节表示秒数，4字节表示微秒数
caplen：4字节保存下来的包长度（最多是snaplen，比如68字节）
len：   4字节数据包的真实长度，如果文件中保存的不是完整数据包，可能比caplen大

说明：

1、时间戳，包括：

秒计时：32位，一个UNIX格式的精确到秒时间值，用来记录数据包抓获的时间，记录方式是记录从格林尼治时间的1970年1月1日 00:00:00 到抓包时经过的秒数；

毫秒计时：32位，抓取数据包时的毫秒值。

a time stamp,consisting of:

a UNIX-formattime-in-seconds when the packet was captured, i.e. the number of seconds sinceJanuary 1,1970, 00:00:00 GMT (that GMT, *NOT* local time!);

the number ofmicroseconds since that second when the packet was captured;

2、数据包长度：32位，标识所抓获的数据包保存在pcap文件中的实际长度，以字节为单位。

a 32-bit valuegiving the number of bytes of packet data that were captured;

3、数据包实际长度：所抓获的数据包的真实长度，如果文件中保存不是完整的数据包，那么这个值可能要比前面的数据包长度的值大。

a 32-bit valuegiving the actual length of the packet, in bytes (which may be greater than theprevious number, if you are not saving the entire packet).