网络抓包数据文件(.pcap/.cap)解析工具(Java实现)

最新推荐文章于 2025-05-01 14:26:00 发布
最新推荐文章于 2025-05-01 14:26:00 发布
阅读量8.8k 收藏 25
点赞数 2
分类专栏: Java基础 文章标签: java 报文数据 通信 pcap cap
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/zzj_csdn/article/details/120515426
版权

前言

pcap/.cap文件是常用的数据报存储格式文件,数据按照特定格式存储,普通编辑器无法正常打开该类型文件,使用Ultra Edit编辑器能够以16进制的格式查看数据,无法直观查看数据重要信息。需要特定的解析工具软件读取查看如WiresharkPortable或Microsoft Network Monitor等。


问题

然而一些开发任务需要数据文件(.pcap/.cap)某项信息进行后续处理,无法使用软件获取信息输入到程序中,对开发任务带来一些困难。


解决

引入pcap4j库,该库通过网络接口捕获数据包并将它们转换为 Java 对象。可以通过从数据包转换而来的 Java 对象来获取/设置数据包头的每个字段。您还可以从头开始制作数据包对象。pcap4j还具有更强大的功能,有兴趣可关注微信公众号:Java烂笔头,回复:pcap4j-1,查看完整源码及说明。


示例代码

maven 依赖

<dependencies>
    <dependency>
      <groupId>org.pcap4j</groupId>
      <artifactId>pcap4j-core</artifactId>
      <version>1.8.2</version>
    </dependency>
    <dependency>
      <groupId>org.pcap4j</groupId>
      <artifactId>pcap4j-packetfactory-static</artifactId>
      <version>1.8.2</version>
    </dependency>
  </dependencies>
package org.pcap4j.sample;
import java.io.EOFException;
import java.util.concurrent.TimeoutException;
import org.pcap4j.core.NotOpenException;
import org.pcap4j.core.PcapHandle;
import org.pcap4j.core.PcapHandle.TimestampPrecision;
import org.pcap4j.core.PcapNativeException;
import org.pcap4j.core.Pcaps;
import org.pcap4j.packet.Packet;

@SuppressWarnings("javadoc")
public class ReadPacketFile {

  private static final int COUNT = 5;

  private static final String PCAP_FILE_KEY = ReadPacketFile.class.getName() + ".pcapFile";
  private static final String PCAP_FILE =
      System.getProperty(PCAP_FILE_KEY, "src/main/resources/echoAndEchoReply.pcap");

  private ReadPacketFile() {}

  public static void main(String[] args) throws PcapNativeException, NotOpenException {
    PcapHandle handle;
    try {
      handle = Pcaps.openOffline(PCAP_FILE, TimestampPrecision.NANO);
    } catch (PcapNativeException e) {
      handle = Pcaps.openOffline(PCAP_FILE);
    }

    for (int i = 0; i < COUNT; i++) {
      try {
        Packet packet = handle.getNextPacketEx();
        System.out.println(handle.getTimestamp());
        System.out.println(packet);
      } catch (TimeoutException e) {
      } catch (EOFException e) {
        System.out.println("EOF");
        break;
      }
    }

    handle.close();
  }
}

2012-09-12 13:27:27.609228
[Ethernet Header (14 bytes)]
  Destination address: 00:01:8e:f9:a7:60
  Source address: 04:7d:7b:4c:2f:0a
  Type: 0x0800 (IPv4)
[IPv4 Header (20 bytes)]
  Version: 4 (IPv4)
  IHL: 5 (20 [bytes])
  TOS: [precedence: 0 (Routine)] [tos: 0 (Default)] [mbz: 0]
  Total length: 60 [bytes]
  Identification: 18814
  Flags: (Reserved, Don't Fragment, More Fragment) = (false, false, false)
  Fragment offset: 0 (0 [bytes])
  TTL: 128
  Protocol: 1 (ICMPv4)
  Header checksum: 0x0000
  Source address: /192.168.2.101
  Destination address: /192.168.2.1
[ICMPv4 Common Header (4 bytes)]
  Type: 8 (Echo)
  Code: 0 (No Code)
  Checksum: 0x4c5b
[ICMPv4 Echo Header (4 bytes)]
  Identifier: 256
  SequenceNumber: 1
[data (32 bytes)]
  Hex stream: 61 62 63 64 65 66 67 68 69 6a 6b 6c 6d 6e 6f 70 71 72 73 74 75 76 77 61 62 63 64 65 66 67 68 69

2012-09-12 13:27:27.609965
[Ethernet Header (14 bytes)]
  Destination address: 04:7d:7b:4c:2f:0a
  Source address: 00:01:8e:f9:a7:60
  Type: 0x0800 (IPv4)
[IPv4 Header (20 bytes)]
  Version: 4 (IPv4)
  IHL: 5 (20 [bytes])
  TOS: [precedence: 0 (Routine)] [tos: 0 (Default)] [mbz: 0]
  Total length: 60 [bytes]
  Identification: 30935
  Flags: (Reserved, Don't Fragment, More Fragment) = (false, false, false)
  Fragment offset: 0 (0 [bytes])
  TTL: 64
  Protocol: 1 (ICMPv4)
  Header checksum: 0x7c33
  Source address: /192.168.2.1
  Destination address: /192.168.2.101
[ICMPv4 Common Header (4 bytes)]
  Type: 0 (Echo Reply)
  Code: 0 (No Code)
  Checksum: 0x545b
[ICMPv4 Echo Reply Header (4 bytes)]
  Identifier: 256
  SequenceNumber: 1
[data (32 bytes)]
  Hex stream: 61 62 63 64 65 66 67 68 69 6a 6b 6c 6d 6e 6f 70 71 72 73 74 75 76 77 61 62 63 64 65 66 67 68 69

2012-09-12 13:27:28.611932
[Ethernet Header (14 bytes)]
  Destination address: 00:01:8e:f9:a7:60
  Source address: 04:7d:7b:4c:2f:0a
  Type: 0x0800 (IPv4)
[IPv4 Header (20 bytes)]
  Version: 4 (IPv4)
  IHL: 5 (20 [bytes])
  TOS: [precedence: 0 (Routine)] [tos: 0 (Default)] [mbz: 0]
  Total length: 60 [bytes]
  Identification: 18815
  Flags: (Reserved, Don't Fragment, More Fragment) = (false, false, false)
  Fragment offset: 0 (0 [bytes])
  TTL: 128
  Protocol: 1 (ICMPv4)
  Header checksum: 0x0000
  Source address: /192.168.2.101
  Destination address: /192.168.2.1
[ICMPv4 Common Header (4 bytes)]
  Type: 8 (Echo)
  Code: 0 (No Code)
  Checksum: 0x4c5a
[ICMPv4 Echo Header (4 bytes)]
  Identifier: 256
  SequenceNumber: 2
[data (32 bytes)]
  Hex stream: 61 62 63 64 65 66 67 68 69 6a 6b 6c 6d 6e 6f 70 71 72 73 74 75 76 77 61 62 63 64 65 66 67 68 69

2012-09-12 13:27:28.61251
[Ethernet Header (14 bytes)]
  Destination address: 04:7d:7b:4c:2f:0a
  Source address: 00:01:8e:f9:a7:60
  Type: 0x0800 (IPv4)
[IPv4 Header (20 bytes)]
  Version: 4 (IPv4)
  IHL: 5 (20 [bytes])
  TOS: [precedence: 0 (Routine)] [tos: 0 (Default)] [mbz: 0]
  Total length: 60 [bytes]
  Identification: 30936
  Flags: (Reserved, Don't Fragment, More Fragment) = (false, false, false)
  Fragment offset: 0 (0 [bytes])
  TTL: 64
  Protocol: 1 (ICMPv4)
  Header checksum: 0x7c32
  Source address: /192.168.2.1
  Destination address: /192.168.2.101
[ICMPv4 Common Header (4 bytes)]
  Type: 0 (Echo Reply)
  Code: 0 (No Code)
  Checksum: 0x545a
[ICMPv4 Echo Reply Header (4 bytes)]
  Identifier: 256
  SequenceNumber: 2
[data (32 bytes)]
  Hex stream: 61 62 63 64 65 66 67 68 69 6a 6b 6c 6d 6e 6f 70 71 72 73 74 75 76 77 61 62 63 64 65 66 67 68 69

2012-09-12 13:27:29.611909
[Ethernet Header (14 bytes)]
  Destination address: 00:01:8e:f9:a7:60
  Source address: 04:7d:7b:4c:2f:0a
  Type: 0x0800 (IPv4)
[IPv4 Header (20 bytes)]
  Version: 4 (IPv4)
  IHL: 5 (20 [bytes])
  TOS: [precedence: 0 (Routine)] [tos: 0 (Default)] [mbz: 0]
  Total length: 60 [bytes]
  Identification: 18816
  Flags: (Reserved, Don't Fragment, More Fragment) = (false, false, false)
  Fragment offset: 0 (0 [bytes])
  TTL: 128
  Protocol: 1 (ICMPv4)
  Header checksum: 0x0000
  Source address: /192.168.2.101
  Destination address: /192.168.2.1
[ICMPv4 Common Header (4 bytes)]
  Type: 8 (Echo)
  Code: 0 (No Code)
  Checksum: 0x4c59
[ICMPv4 Echo Header (4 bytes)]
  Identifier: 256
  SequenceNumber: 3
[data (32 bytes)]
  Hex stream: 61 62 63 64 65 66 67 68 69 6a 6b 6c 6d 6e 6f 70 71 72 73 74 75 76 77 61 62 63 64 65 66 67 68 69

完整源码

示例源码关注微信公众号:Java烂笔头,回复:pcap4j

应用场景

需求:当数据块比较大时,数据块会被压缩,当需要通过抓包来查看数据包内容时,无法直接通过软件查看。给实际工程问题排查带来不便,需要开发一个工具,判断数据是否被压缩,如果压缩进行解压。
               功能:解析报文,报文协议如下:提取出压缩的报文,并解压其中的数据,输出解压后的二进制数据。
                输入:抓取的设备的报文文件。
                输出:将解压的二进制数据输出。
                        格式:
                                时间:
                                源ip:
                                宿ip:
                                数据:

思路:通过pcap4j解析库可以直接读取每条数据的时间、源地址、宿地址、十六进制数据,其次通过Microsoft Network Monitor软件查看报文数据,找出表示是否压缩的十六进制数据位,找出每条数据的表示压缩位的位置规律,将该位转为二进制的最后一位表示是否压缩,1表示压缩,0表示未压缩。然后将压缩的数据转为二进制输出即可。

 

此处源码不便展示,如果需要可关注并私信微信公众号:Java烂笔头

 

JavaPcap文件解析(三:解析文件)
GuLu_GuLu_jp的专栏
01-11 1万+
前言 数据结构已经定义好了,那么现在就开始正式解析Pcap文件了。 注:以下仅贴出核心代码,项目全部代码会在文章结尾处给出下载链接 解析Pcap文件 1 读取整个Pcap文件到内存 FileInputStream fis = null; try { fis = new FileInputStream(pcap); int m = fis...
Java 解析Pcap文件(1)
qq_41512783的博客
03-11 3676
Java 解析Pcap文件(1) @author:Jingdai @date:2021.03.11 由于毕业实验是关于TLS流量分析的,所以最近学习了一下Pcap文件解析,现记录一下。 Pcap文件结构 如果所示,Pcap文件由一个Global Header后面接着若干组Packet Header 和 Packet Data 组成。 先看一下 Global Header 的结构,它由 24B 组成,字段按照Pcap文件的顺序列出。 magic,占4B,如果它的值是0xa1b2c3d4,代表 Pc
java抓包后对pcap文件解析示例
09-04
主要介绍了java抓包后对pcap文件解析示例,需要的朋友可以参考下
网络工程师必备10个抓包技巧(非常详细)零基础入门到精通,收藏这一篇就够了
kjuhfkicf154的博客
03-25 857
网络安全产业就像一个江湖,各色人等聚集。相对于欧美国家基础扎实(懂加密、会防护、能挖洞、擅工程)的众多名门正派,我国的人才更多的属于旁门左道(很多白帽子可能会不服气),因此在未来的人才培养和建设上,需要调整结构,鼓励更多的人去做“正向”的、结合“业务”与“数据”、“自动化”的“体系、建设”,才能解人才之渴,真正的为社会全面互联网化提供安全保障。
PcapAnalyzer(v6) 使用说明
最新发布
gitblog_06702的博客
05-01 909
PcapAnalyzer(v6) 使用说明 【下载地址】PcapAnalyzerv6使用说明 PcapAnalyzer(v6) 是一款专为网络数据文件Pcap文件)设计的深度解析工具,能够快速提取并分析 TCP、UDP 会话信息及 TCP 数据负载。它支持多种 Pcap 文件格式,兼容性强,界面友好,操作简便。无论是...
可视化数据包分析工具-CapAnalysis
weixin_33728268的博客
11-16 687
可视化数据包分析工具-CapAnalysis我们知道,Xplico是一个从pcap文件解析出IP流量数据工具,本文介绍又一款实用工具CapAnalysis(可视化数据包分析工具),将比Xplico更加细致的分析功能,先别着急安装,下面我们首先了解Pcap包的基本结构,然后告诉你如何使用,最后是一段多媒体教程给大家演示一些精彩环节。下面这段我制作的可视化视频也深受大家喜欢:http://www...
java解析Pcap文件获取五元组(可执行)
07-13
java解析Pcap文件获取五元组(可运行)
Network学习6_JavaPcap文件解析(一:Pcap格式分析)
wang_zhenwei的博客
08-23 1926
前言 需求 本系列文章主要完成以下功能:  1.Pcap文件进行解析,并从中提取TCP和UDP会话  2. 从TCP会话中提取出其数据负载信息 软件最终结果 [主界面]    [File 菜单]    [Help 的 About 菜单项,版权声明]    [选择Pcap文件]    [选择输出目录]    [正在解析]    [解析测试1:对
java 生成.pcap_java抓包后对pcap文件解析示例
weixin_35589827的博客
03-07 963
这是自己写的简单的解析pcap文件,方便读取pcap文件,大家参考使用吧复制代码 代码如下:InputStream is = DataParser.class.getClassLoader().getResourceAsStream("baidu_cdr.pcap");Pcap pcap = PcapParser.unpack(is);is.close();byte[] t = pcap.getD...
java解析cap文件_tcpdump工具抓到的cap文件
weixin_42131785的博客
02-17 1639
一、链路层 ---> 以太网数据包一个数据包被称为一帧,制定这个规则的协议就是以太网协议。一个完整的以太网数据包如下图所示:整个数据帧由首部、数据和尾部三部分组成,首部固定为14个字节,包含了目标MAC地址、源MAC地址和类型;数据最短为46个字节,最长为1500个字节以太网规协议定,接入网络的设备都必须安装网络适配器,即网卡,数据包必须是从一块网卡传送到另一块网卡。而网卡地址就是数据...
java获取tcpdump_Java网络爬虫(十四)–使用tcpdump和wireshark进行网络抓包与分析...
weixin_39927508的博客
03-01 436
最近打算通过学校的某某系统抓取一下每个学生的个人信息,由于需要进行模拟登录,所以就要对登录页面进行post参数的提交。但是在进行网络抓包的过程中,使用chrome自带的网络抓包分析工具(也就是F12)发现每次在进行登录提交表格之后,chrome并不能将所需要提交的参数表单抓取下来。问了学长原因,觉得是登录成功之后因为页面的跳转需要进行刷新,所以就将表单提交的那部分数据给刷掉了。学长提供的解决办法是...
解析pcap工具
10-04
能把抓到的pcap文件中g.729编码的rtp流解析存为wav文件
CAP文件解析
10-30
java中对.cap文件解析。前提需要一个JCDK的工具包。在oracle官网中可以下载,搜索java card。我用的是:JCDK3.0.4_ClassicEdition。在bin中的scriptgen.bat中需要改动set JAVA_HOME=jdk的地址,我用1.6jdk的。然后在下面有%JAVA_HOME%也需要修改为:\bin\java。例子:"%JAVA_HOME%\bin\java" -Djc.home=%JC_CLASSIC_HOME% -classpath %JC_CLASSPATH% com.sun.javacard.scriptgen.Main %*。 在CMD也能运行,先到scriptgen.bat D:/XXX.cap 就可以了
PCAP文件解析软件
07-12
具备WIRESHARK的大部分功能,主要是指针的偏移来完成的。对初学者有一定的帮助。
cap文件解析API
02-20
工作需要编写的API,带参考例子。 有时也需要下载一些其他人的源码,所以用来赚点资源分。 如果有人急切想要但无资源分,请发邮件到weihong_ou@126.com索取
借助WireShark解析PCAP
阿霖
12-16 1万+
本文主要分为以下几点: 1.什么是pcap包? 2.pcap包内容如何查看? 3.java程序中借助WireShark进行解析,在后台查看 目录 [toc]1.什么是pcap包 什么是pcap抓包 PCAP是一个数据包抓取库, 很多软件都是用它来作为数据包抓取工具的。 WireShark也是用PCAP库来抓取数据包的。PCAP抓取出来的数据包并不是原始的网络字节流,而是对其进行
JavaPcap文件解析(一:Pcap格式分析)
热门推荐
GuLu_GuLu_jp的专栏
01-11 1万+
前言 需求 本系列文章主要完成以下功能: 1.Pcap文件进行解析,并从中提取TCP和UDP会话 2. 从TCP会话中提取出其数据负载信息 软件最终结果 [主界面] [File 菜单] [Help 的 About 菜单项,版权声明] [选择Pcap文件] [选择输出目录] [正在解析] [解析测试1:对pcap1.pcap进行解析] ...
Java自动调用wireshark解析pcap文件并输出结果
weixin_42209881的博客
04-16 1355
左边是代码输出的字符串,右边是wireshark手动解析的,一模一样,如果想讲究的话,也可以把左边的字符串格式化,放在一个tree里,看起来也比较有层次感。首先主机上得先安装wireshark的工具软件,然后最好把环境变量配上,如果不配的话,调用的时候,需要用绝对路径,建议配上环境变量,关于pcap文件的介绍,和怎么使用代码手动生成一份pcap文件,可以参考我在其他文章中的介绍,直接就可以看到返回的结果,和wireshark里一模一样的,有了pcap文件之后,再看怎么调用wireshark解析
CapAnalysis Pcap分析工具
LXL1995_的博客
10-29 5988
CapAnalysis Pcap分析工具CapAnalysis 对 PCAP 文件数据集进行索引并以多种形式呈现它们的内容,从 TCP、UDP 或 ESP 流/流列表开始,传递到连接的地理表示。 对于由一个或多个 PCAP 文件组成的每个数据集,CapAnalysis 收集数据包 UDP 和 TCP 的每个流或流的信息。对于 TCP 流,它能够识别每个方向丢失的字节数,以及从重传数据包计数中删除的交换总字节数。 问题描述: 提示:这里描述项目中遇到的问题: 例如:数据传输过程中数据不时出现丢失的
Java抓包
03-27
### 使用 Jpcap 实现 Java 网络数据包捕获 Jpcap 是一种用于 Java网络抓包工具库,它允许开发者通过编程方式捕获和发送网络数据包。以下是关于如何使用 Jpcap 进行网络数据包捕获的关键点: #### 1. **环境配置** 为了在项目中使用 Jpcap 库,需要先下载其依赖文件并将它们导入到开发环境中。通常情况下,这包括 `jpcap.jar` 文件以及对应的本地库文件(如 `.dll` 或 `.so`)。这些文件需放置于系统的动态链接路径下以便运行时加载[^1]。 #### 2. **获取网卡列表** 在网络数据包捕获过程中,第一步通常是枚举当前计算机上的可用网卡设备。可以通过调用 `Jpcap.getCaptureDevices()` 方法来完成此操作。该方法返回一个包含所有可用网卡对象的数组,每个对象代表一台物理或虚拟网卡设备。 ```java import jpcap.JpcapCaptor; import jpcap.NetworkInterface; public class NetworkCapture { public static void main(String[] args) { // 获取所有的网卡设备 NetworkInterface[] devices = JpcapCaptor.getDeviceList(); System.out.println("Available network interfaces:"); for (int i = 0; i < devices.length; i++) { System.out.println(i + ": " + devices[i].name + "(" + devices[i].description+")"); } } } ``` #### 3. **打开指定网卡进行捕获** 选定目标网卡后,可通过创建 `JpcapCaptor` 对象实例化一个捕获器,并设置相应的参数,比如缓冲区大小、超时时间等。下面是一个简单的例子展示如何开启特定网卡的数据包监听模式。 ```java // 假设我们选择了第一个网卡作为输入源 NetworkInterface device = devices[0]; String filter = "tcp and port 80"; // 设置过滤条件为TCP协议且端口号为80 int snaplen = 65535; // 单次读取的最大长度 boolean promiscuous = true; // 是否启用混杂模式 int to_ms = 10; // 超时时长(ms) try { JpcapCaptor captor = JpcapCaptor.openDevice(device, snaplen, promiscuous, to_ms); if(captor != null){ System.out.println("Successfully opened the selected interface."); }else{ System.err.println("Failed to open the selected interface."); } } catch(Exception e){ e.printStackTrace(); } ``` #### 4. **处理捕获的数据包** 一旦成功打开了某个网卡并开始接收流量,则可以注册回调函数或者循环轮询的方式来逐一解析接收到的数据包内容。每种类型的报文都有各自的标准结构定义,在实际应用当中可能还需要进一步提取有用的信息字段。 ```java captor.setFilter(filter, true); // 应用自定义过滤规则 while(true){ Packet packet = captor.getPacket(); // 阻塞直到有新消息到达为止 processPacket(packet); // 自己编写逻辑去分析packet的具体组成成分 } private static void processPacket(Packet p){ // TODO: Add your own implementation here. } ``` 以上就是利用 Jpcap 工具实现基本功能的主要流程概述。需要注意的是,由于涉及到底层硬件资源访问权限等问题,在某些操作系统平台上可能会遇到额外的安全限制情况;另外考虑到性能因素影响,建议合理调整各项参数值以满足具体需求场景下的效率要求。 ```python # Python 示例仅作对比说明用途,不适用于本主题讨论范围。 def capture_packets(interface_name="eth0"): import pcap cap = pcap.pcap(name=interface_name) for timestamp, buf in cap: print(f"{timestamp}: {buf}") ```
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值