pcap文件格式是bpf保存原始数据包的格式,很多软件都在使用,比如tcpdump、wireshark等等,了解pcap格式可以加深对原始数据包的了解,自己也可以手工构造任意的数据包进行测试。

pcap文件的格式为:
  文件头    24字节
  数据包头 + 数据包  数据包头为16字节,后面紧跟数据包
  数据包头 + 数据包  ……
 
pcap.h里定义了文件头的格式

  1. struct pcap_file_header {
  2. bpf_u_int32 magic;
  3. u_short version_major;
  4. u_short version_minor;
  5. bpf_int32 thiszone;     /* gmt to local correction */
  6. bpf_u_int32 sigfigs;    /* accuracy of timestamps */
  7. bpf_u_int32 snaplen;    /* max length saved portion of each pkt */
  8. bpf_u_int32 linktype;   /* data link type (LINKTYPE_*) */
  9. };

看一下各字段的含义:
magic:   4字节 pcap文件标识 目前为“d4 c3 b2 a1”
major:   2字节 主版本号     #define PCAP_VERSION_MAJOR 2
minor:   2字节 次版本号     #define PCAP_VERSION_MINOR 4
thiszone:4字节 时区修正     并未使用,目前全为0
sigfigs: 4字节 精确时间戳   并未使用,目前全为0
snaplen: 4字节 抓包最大长度 如果要抓全,设为0x0000ffff(65535),
               tcpdump -s 0就是设置这个参数,缺省为68字节
linktype:4字节 链路类型    一般都是1:ethernet
常用链路类型:
      0           BSD loopback devices, except for later OpenBSD
       1           Ethernet, and Linux loopback devices
       6           802.5 Token Ring
       7           ARCnet
       8           SLIP
       9           PPP
       10          FDDI
       100         LLC/SNAP-encapsulated ATM
       101         "raw IP", with no link
       102         BSD/OS SLIP
       103         BSD/OS PPP
       104         Cisco HDLC
       105         802.11
       108         later OpenBSD loopback devices (with the AF_value in network byte order)
       113         special Linux "cooked" capture
       114         LocalTalk

=======================================================================================
|    magic    |major  | minor |   thiszone  |   sigfigs   |   snaplen   |  linktype  
| d4 c3 b2 a1 | 02 00 | 04 00 | 00 00 00 00 | 00 00 00 00 | ff ff 00 00 | 01 00 00 00
=======================================================================================
 
 
数据包头的格式

  1. struct pcap_pkthdr {
  2. struct timeval ts;      /* time stamp */
  3. bpf_u_int32 caplen;     /* length of portion present */
  4. bpf_u_int32 len;        /* length this packet (off wire) */
  5. };
  6. struct timeval {
  7. long            tv_sec;         /* seconds (XXX should be time_t) */
  8. suseconds_t     tv_usec;        /* and microseconds */
  9. };

ts:    8字节 抓包时间 4字节表示秒数,4字节表示微秒数
caplen:4字节 保存下来的包长度(最多是snaplen,比如68字节)
len:   4字节 数据包的真实长度,如果文件中保存的不是完整数据包,可能比caplen大

了解了pcap文件格式,就可以自己手工构造任意数据包了,可以以录好的包为基础,

构建pcap文件示例:

含有两套构建方法, 因起先不知道可以通过pcap_open_dead & pcap_dump_open 构建文件头, 所以开始是自己创建一个文件并写入文件头.

  1. #include <stdio.h>
  2. #include <stdlib.h>
  3. #include <string.h>
  4. #include <unistd.h>
  5. #include <stdint.h>
  6. #include <errno.h>
  7. #include <pcap.h>
  8. #include "common.h"
  9. #define TCPDUMP_MAGIC       0xa1b2c3d4
  10. #ifndef PCAP_VERSION_MAJOR
  11. #define PCAP_VERSION_MAJOR 2
  12. #define
  13. #define PCAP_VERSION_MINOR
  14. #define PCAP_VERSION_MINOR 4
  15. #endif
  16. #define LINKTYPE_NULL       DLT_NULL
  17. #define LINKTYPE_ETHERNET   DLT_EN10MB  /* also for 100Mb and up */
  18. #define LINKTYPE_EXP_ETHERNET   DLT_EN3MB   /* 3Mb experimental Ethernet */
  19. #define LINKTYPE_AX25       DLT_AX25
  20. #define LINKTYPE_PRONET     DLT_PRONET
  21. #define LINKTYPE_CHAOS      DLT_CHAOS
  22. #define LINKTYPE_TOKEN_RING DLT_IEEE802 /* DLT_IEEE802 is used for Token Ring */
  23. #define LINKTYPE_ARCNET     DLT_ARCNET  /* BSD-style headers */
  24. #define LINKTYPE_SLIP       DLT_SLIP
  25. #define LINKTYPE_PPP        DLT_PPP
  26. #define LINKTYPE_FDDI       DLT_FDDI
  27. static int
  28. pcap_write_header(FILE *fp, int linktype, int thiszone, int snaplen)
  29. {
  30. struct pcap_file_header hdr;
  31. hdr.magic = TCPDUMP_MAGIC;
  32. hdr.version_major = PCAP_VERSION_MAJOR;
  33. hdr.version_minor = PCAP_VERSION_MINOR;
  34. hdr.thiszone = thiszone;
  35. hdr.snaplen = snaplen;
  36. hdr.sigfigs = 0;
  37. hdr.linktype = linktype;
  38. if (fwrite((char *)&hdr, sizeof(hdr), 1, fp) != 1)
  39. return (-1);
  40. return (0);
  41. }
  42. #define FILE_SAVE "pcap_write.pcap"
  43. uint8_t l2_data[] = {
  44. 0x00, 0x0c, 0x29, 0x99, 0xfc, 0xa6, 0x00, 0x0c, 0x29, 0xd7, 0xc1, 0xf2, 0x08, 0x00, 0x45, 0x00,
  45. 0x00, 0x46, 0x87, 0x8a, 0x00, 0x00, 0x40, 0x11, 0x6e, 0xa5, 0xc0, 0xa8, 0x01, 0x31, 0xc0, 0xa8,
  46. 0x01, 0xf6, 0x7e, 0x75, 0x00, 0x35, 0x00, 0x32, 0x89, 0x42, 0x0a, 0x5d, 0x00, 0x00, 0x00, 0x01,
  47. 0x00, 0x00, 0x00, 0x00, 0x00, 0x01, 0x03, 0x6e, 0x73, 0x31, 0x05, 0x67, 0x75, 0x61, 0x72, 0x64,
  48. 0x03, 0x63, 0x6f, 0x6d, 0x00, 0x00, 0x01, 0x00, 0x01, 0x00, 0x00, 0x29, 0x10, 0x00, 0x00, 0x00,
  49. 0x80, 0x00, 0x00, 0x00
  50. };
  51. int main(int argc, char **argv)
  52. {
  53. #if 0
  54. FILE *fp = NULL;
  55. struct pcap_pkthdr h;
  56. fp = fopen(FILE_SAVE, "wb");
  57. if (!fp){
  58. fprintf(stderr, "fopen %s for write failed. errno=%d desc=%s\n",
  59. FILE_SAVE, errno, strerror(errno));
  60. return 1;
  61. }
  62. pcap_write_header(fp, LINKTYPE_ETHERNET, 0x0, 0x0000ffff);
  63. gettimeofday(&h.ts, NULL);
  64. h.caplen = sizeof(l2_data);
  65. h.len    = sizeof(l2_data);
  66. pcap_dump((uint8_t *)fp, &h, l2_data);
  67. fflush(fp);
  68. fclose(fp);
  69. #else
  70. pcap_t *p = NULL;
  71. pcap_dumper_t *fp = NULL;
  72. struct pcap_pkthdr h;
  73. p = pcap_open_dead(LINKTYPE_ETHERNET, 0x0000ffff);
  74. if (NULL == p){
  75. fprintf(stderr, "pcap_open_dead failed.\n");
  76. return 1;
  77. }
  78. fp = pcap_dump_open(p, FILE_SAVE);
  79. if (NULL == fp){
  80. fprintf(stderr, "pcap_dump_open failed.\n");
  81. return 1;
  82. }
  83. gettimeofday(&h.ts, NULL);
  84. h.caplen = sizeof(l2_data);
  85. h.len    = sizeof(l2_data);
  86. pcap_dump((uint8_t *)fp, &h, l2_data);
  87. pcap_dump_close(fp);
  88. #endif
  89. return 0;
  90. }

编译 & 链接

# gcc pcap_write.c -o pcap_write -lpcap

自主创建tcpdump/wireshark pcap文件的更多相关文章

  1. 构建tcpdump/wireshark pcap文件

      pcap文件格式是bpf保存原始数据包的格式,很多软件都在使用,比如tcpdump.wireshark等等,了解pcap格式可以加深对原始数据包的了解,自己也可以手工构造任意的数据包进行测试. p ...

  2. 基于TcpDump和pcap文件分析的Android平台网络抓包程序设计与实现【随便】

    一.考虑使用Tcpdump,将抓到的包保存到cap文件中,然后手动分析.参考资料:1. http://www.cnblogs.com/tt-0411/archive/2012/09/23/269936 ...

  3. text2pcap: 将hex转储文本转换为Wireshark可打开的pcap文件

    简介 Text2pcap是一个读取ASCII hex转储的程序,它将描述的数据写入pcap或pcapng文件.text2pcap可以读取包含多个数据包的hexdumps,并构建多个数据包的捕获文件.t ...

  4. pcap文件生成metadata——使用tshark解析tcpdump的pcap包

    pcap文件生成metadata #!/usr/bin/env python # -*- coding: utf-8 -*- import os import time, datetime impor ...

  5. 使用tcpdump+Wireshark(或Fiddler)做linux服务器的网络请求分析

    我们的服务器上,一般都没有窗口界面,这时候要抓包,用tcpdump是最方便的.而分析网络请求时,wireshark又是相当方便的,这时候我们就需要把它们两个一起来使用了. tcpdump 抓取数据 命 ...

  6. JSunpack-n模拟WireShark拦截文件传输

    前言: 在前面的实验里我们进行了JSunpack-n的安装及其简单使用.JSunpack-n还有另外一些功能须要进行測试试验,由于本人也是刚接触这些东西.本文就当中一个"功能点"进 ...

  7. tcpdump wireshark 实用过滤表达式(针对ip、协议、端口、长度和内容) 实例介绍

    tcpdump wireshark 实用过滤表达式(针对ip.协议.端口.长度和内容) 实例介绍 标签: 网络tcpdst工具windowslinux 2012-05-15 18:12 3777人阅读 ...

  8. python dpkt 解析 pcap 文件

    dpkt Tutorial #2: Parsing a PCAP File 原文链接:https://jon.oberheide.org/blog/2008/10/15/dpkt-tutorial-2 ...

  9. 无法在“EntityFramework”已存在的情况下创建影像复制该文件的解决方案

    问题产生的原因:你项目正在生成中你就打开浏览器预览了,导致这个问题解决方案:右击重新生成项目,等生成后再打开 “/”应用程序中的服务器错误. 无法在“EntityFramework”已存在的情况下创建 ...

随机推荐

  1. ASP.NET State Service服务

    ASP.NET State Service服务是用来管理 Session 的,正常来说,Session 位于IIS进程中(其实可以理解成在服务器的内存中),当IIS重启或程序池回收会自动清空Sessi ...

  2. JVM 学习笔记(二)

    JVM 堆中几乎存放着java中所有的对象实例,在在垃圾回收前先要判断对象是否已死,这里对对象的判断主要有: 1.  引用计数法 给对象中添加一个引用计数器,每当有一个地方引用他时,计数器就加1:当引 ...

  3. bzoj 1964: hull 三维凸包 计算几何

    1964: hull 三维凸包 Time Limit: 1 Sec  Memory Limit: 64 MBSubmit: 54  Solved: 39[Submit][Status][Discuss ...

  4. 【原创】Matlab中plot函数全功能解析

    [原创]Matlab中plot函数全功能解析 该帖由Matlab技术论(http://www.matlabsky.com)坛原创,更多精彩内容参见http://www.matlabsky.com 功能 ...

  5. ReactEurope Conf 参会感想

    React 带来的革命性创新是前端世界过去几年最激动人心的变化.自从接触 React 以来,我深信 React 会改变客户端开发者(包括前端.iOS 和 Android)的开发体验.这次在巴黎举办的  ...

  6. IEEE二进制浮点数算术标准(IEEE 754)

    整理自IEEE 754 IEEE二进制浮点数算术标准(IEEE 754)是20世纪80年代以来最广泛使用的浮点数运算标准,为许多CPU与浮点运算器所采用.这个标准定义了表示浮点数的格式(包括负零-0) ...

  7. SQL2005 安装时 “性能监视器计数器要求(错误)” 解决方案

    转自SQL2005 安装时 "性能监视器计数器要求(错误)" 解决方案 出现此类问题一般都是在非法卸载sql2005出现的 在 "开始" -->  &qu ...

  8. [收藏转贴]构建RESTful风格的WCF服务

    RESTful Wcf是一种基于Http协议的服务架构风格. 相较 WCF.WebService 使用 SOAP.WSDL.WS-* 而言,几乎所有的语言和网络平台都支持 HTTP 请求. RESTf ...

  9. [转贴]Windows下gSoap交叉编译环境的搭建

    本人直接就用过gSoap,它是用以C/C++写webservice的利器     交叉编译的时候,有两个很关键的程序:         soapcpp2.exe         wsdl2h.exe ...

  10. C++ Socket TCP "Hello World!"

    这是C++ SOCKET网络程序中的C/S结构之TCP "Hello World !",共两个控制台工程: //////////////////////////////////// ...