rohc源碼官網下載

① pcap文件可讀性差

Pcap文件詳解
一、簡介
pcap文件是常用的數據報存儲格式，可以理解為就是一種文件格式，只不過裡面的數據是按照特定格式存儲的，所以我們想要解析裡面的數據，也必須按照一定的格式。

普通的記事本打開pcap文件顯示的是亂碼，用安裝了HEX-Editor插件的Notepad++打開，能夠以16進制數據的格式顯示，或者使用sublime打開以十六進制的格式顯示。用wireshark這種抓包工具就可以正常打開這種文件，愉快地查看裡面的網路數據報了，同時wireshark也可以生成這種格式的文件。

還有一些其他網路分析工具。

二、文件格式
Pcap header
Packet1 header
Packet1 Data
Packet2 header
Packet2 Data


如上圖所示，pcap文件的總體結構就是文件頭-數據包頭1-數據包1-數據包頭2-數據包2的形式

1.Pcap Header
文件頭，每一個pcap文件只有一個文件頭，總共佔24（B）位元組，以下是總共7個欄位的含義。（一個位元組可以由2個十六進製表示）

Magic(4B)：標記文件開始，並用來識別文件和位元組順序。值可以為0xa1b2c3d4或者0xd4c3b2a1，如果是0xa1b2c3d4表示是大端模式，按照原來的順序一個位元組一個位元組的讀，如果是0xd4c3b2a1表示小端模式，下面的位元組都要交換順序。現在的電腦大部分是小端模式。
ps：網路位元組序一般是大端存儲，主機x86位元組序一般是小端存儲，比如我們經過網路發送0x12345678這個整形，在80X86平台中，它是以小端法存放的，在發送前需要使用系統提供的htonl將其轉換成大端法存放

Major(2B)：當前文件的主要版本號，一般為0x0200

Minor(2B)：當前文件的次要版本號，一般為0x0400

ThisZone(4B)：當地的標准事件，如果用的是GMT則全零，一般全零

SigFigs(4B)：時間戳的精度，一般為全零

SnapLen(4B)：最大的存儲長度，該值設置所抓獲的數據包的最大長度，如果所有數據包都要抓獲，將該值設置為65535（0xFFFF）； 例如：想獲取數據包的前64位元組，可將該值設置為64

LinkType(4B)：鏈路類型

2.Packet Header
數據包頭可以有多個，每個數據包頭後面都跟著真正的數據包。數據包頭則依次為：時間戳（秒）、時間戳（微妙）、抓包長度和實際長度，依次各佔4個位元組。以下是Packet Header的4個欄位含義

Timestamp(4B)：時間戳高位，精確到seconds，這是Unix時間戳。捕獲數據包的時間一般是根據這個值

Timestamp(4B)：時間戳低位，能夠精確到microseconds

Caplen(4B)：當前數據區的長度，即抓取到的數據幀長度，由此可以得到下一個數據幀的位置。

Len(4B)：離線數據長度，網路中實際數據幀的長度，一般不大於Caplen，多數情況下和Caplen值一樣

3.Packet Data
Packet是鏈路層的數據幀，長度就是Packet Header中定義的Caplen值，所以每個Packet Header後面都跟著Caplen長度的Packet Data。也就是說pcap文件並沒有規定捕獲的數據幀之間有什麼間隔字元串。Packet數據幀部分的格式就是標準的網路協議格式了。

例子：



紅色部分是Pcap Header，藍色部分是Packet Header，後邊是Packet Date

Pcap Header的Magic：d4 c3 b2 a1，表示是小端模式，後面的位元組從後往前讀 a1b2c3d4 小端模式

Pcap Header的Major：02 00，計算機讀的應該是00 02。最大存儲長度SnapLen：ff ff 00 00 ，同理計算機讀的應該是00 00 ff ff，所以是2的16次方減一，是65535個位元組。LinkType：01 00 00 00 ，實際是00 00 00 01，是乙太網類型。

藍色部分的Packet Header我就不一一說了，重點關注Caplen：3c 00 00 00，計算機讀的是00 00 00 3c，轉換成十進制就是60，所以後面的60個位元組都是一個數據幀。之後就又是一個Pcap Header，如此循環。



三、乙太網幀（Ethernet）、IP包、TCP、UDP的長度范圍
1、乙太網幀
MAC地址則是48位的（6個位元組），通常表示為12個16進制數，每2個16進制數之間用冒號隔開，如08：00：20：0A：8C：6D就是一個MAC地址。

乙太網地址頭部：目的地址（6位元組）、源地址（6位元組）、乙太網類型（2位元組）

目前乙太網幀有5種，交換機之間BPDU（橋協議數據單元）數據包使用的是IEEE802.3/LLC幀，其格式如下：

欄位 長度（位元組） 目的
前導碼（Preamble） 7 0x55,一串1、0間隔，用於信號同步
幀開始符（SFD） 1 1位元組0xD5(10101011)，表示一幀開始
目的MAC地址 6 指明幀的接受者
源MAC地址 6 指明幀的發送者
長度（Length）/類型（Type） 2 0～1500保留為長度域值，1536～65535保留為類型域值(0x0600～0xFFFF)
數據和填充（Data and Pad） 46~1500 高層的數據，通常為3層協議數據單元。對於TCP/IP是IP數據包（註：如果幀長小於64位元組，則要求「填充」，以使這個幀的長度達到64位元組）
幀校驗序列（FCS） 4 使用CRC計算從目的MAC到數據域這部分內容而得到的校驗和


乙太網MAC幀格式

在linux中，乙太網幀頭部的結構體如下：

/ 10Mb/s ethernet header /
struct ether_header
{
u_int8_t ether_dhost[ETH_ALEN]; / destination eth addr /
u_int8_t ether_shost[ETH_ALEN]; / source ether addr /
u_int16_t ether_type; / packet type ID field /
} __attribute__ ((__packed__));

其中的ETH_ALEN為6，因為地址為6個位元組，共48位——這個地址就是常說的物理地址，或MAC地址。它的第3個成員ether_type是以太幀類型，有如下這些：

/ Ethernet protocol ID's /
#define ETHERTYPE_PUP 0x0200 / Xerox PUP /
#define ETHERTYPE_SPRITE 0x0500 / Sprite /
#define ETHERTYPE_IP 0x0800 / IP /
#define ETHERTYPE_ARP 0x0806 / Address resolution /
#define ETHERTYPE_REVARP 0x8035 / Reverse ARP /
#define ETHERTYPE_AT 0x809B / AppleTalk protocol /
#define ETHERTYPE_AARP 0x80F3 / AppleTalk ARP /
#define ETHERTYPE_VLAN 0x8100 / IEEE 802.1Q VLAN tagging /
#define ETHERTYPE_IPX 0x8137 / IPX /
#define ETHERTYPE_IPV6 0x86dd / IP protocol version 6 /
#define ETHERTYPE_LOOPBACK 0x9000 / used to test interfaces /

註：如果幀長小於64位元組，則要求「填充」，以使這個幀的長度達到64位元組


但是我們觀察到這個乙太網幀只有60位元組，why？

據RFC894的說明，乙太網封裝IP數據包的最大長度是1500位元組（所以，數據鏈路層的最大傳輸單元（Maximum Transmission Unit，MTU）是1500位元組），也就是說乙太網最大幀長應該是乙太網首部加上1500，再加上7位元組的前導同步碼和1位元組的幀開始定界符，具體就是：7位元組前導同步嗎＋1位元組幀開始定界符＋6位元組的目的MAC＋6位元組的源MAC＋2位元組的幀類型＋1500＋4位元組的FCS。

按照上述，最大幀應該是1526位元組，但是實際上我們抓包得到的最大幀是1514位元組，為什麼不是1526位元組呢？原因是當數據幀到達網卡時，在物理層上網卡要先去掉前導同步碼和幀開始定界符，然後對幀進行CRC檢驗，如果幀校驗和錯，就丟棄此幀。如果校驗和正確，就判斷幀的目的硬體地址是否符合自己的接收條件（目的地址是自己的物理硬體地址、廣播地址、可接收的多播硬體地址等），如果符合，就將幀交「設備驅動程序」做進一步處理。這時我們的抓包軟體才能抓到數據，因此，抓包軟體抓到的是去掉前導同步碼、幀開始分界符、FCS之外的數據，只留下了目的地址，源地址，類型欄位，其最大值是6＋6＋2＋1500＝1514。

乙太網規定，乙太網幀數據域部分最小為46位元組，也就是乙太網幀最小是6＋6＋2＋46＋4＝64。除去4個位元組的FCS，因此，抓包時就是60位元組。當數據欄位的長度小於46位元組時，MAC子層就會在數據欄位的後面填充以滿足數據幀長不小於64位元組。由於填充數據是由MAC子層負責，也就是設備驅動程序。不同的抓包程序和設備驅動程序所處的優先層次可能不同，抓包程序的優先順序可能比設備驅動程序更高，也就是說，我們的抓包程序可能在設備驅動程序還沒有填充不到64位元組幀的時候，已經捕獲了數據。因此不同的抓包工具抓到的數據幀的大小可能不同。（比如，wireshark抓到的可能沒有填充數據段，而sniffer抓到的就有填充數據段）

2、IP數據包
IP頭大小最小為20位元組。所以，網路層的MTU=數據鏈路層的MTU1500-20=1480位元組。

由於IP協議提供為上層協議分割和重組報文的功能，在IP頭中，用2個位元組來描述報文的長度，2個位元組所能表達的最大數字就是65535。所以，IP數據包的最大長度就是64K位元組(65535)。

3、TCP（傳輸層）
TCP頭部選項是一個可變長的信息，這部分最多包含40位元組，因為TCP頭部最長60位元組，（其中還包含前面20位元組的固定部分）。

依靠IP協議提供的報文分割和重組機制，TCP包頭中就沒有「包長度」欄位，而完全依靠IP層去處理分幀。這就是為什麼TCP常常被稱作一種「流協議」的原因，開發者在使用TCP服務的時候，不必去關心數據包的大小，只需講SOCKET看作一條數據流的入口，往裡面放數據就是了，TCP協議本身會進行擁塞/流量控制。

選項和填充，n4位元組，常見的可選欄位是最長報文大小 MSS(Maximum Segment Size) 。每個連接方通常都在通信的第一個報文段（為建立連接而設置 SYN 標志的那個段）中指明這個選項，它指明本端所能接收的最大長度的報文段。選項長度不一定是 32 位字的整數倍，所以要加填充位，使得報頭長度成為整字數

MTU和MSS值的關系：MTU=MSS+IP Header+TCPHeader
通信雙方最終的MSS值=較小MTU-IP Header-TCP Header

4、UDP（傳輸層）
UDP包的首部要佔用8位元組，因為UDP提供無連接服務，它的數據包包頭，是固定長度的8位元組，不存在可選欄位，可以減少很多傳輸開銷，所以它無需使用首部欄位長，因為它的首部就是固定的。

UDP則與TCP不同，UDP包頭內有總長度欄位，同樣為兩個位元組，因此UDP數據包的總長度被限制為65535，這樣恰好可以放進一個IP包內，使得 UDP/IP協議棧的實現非常簡單和高效。

所以UDP包的最大值是：IP數據包的最大長度65535-IP頭的大小20-UDP頭的大小=65507位元組。最小值是0。

這個值也就是你在調用getsockopt()時指定SO_MAX_MSG_SIZE所得到返回值，任何使用SOCK_DGRAM屬性的socket，一次send的 數據都不能超過這個值，否則必然得到一個錯誤。

————————————————
版權聲明：轉載
參考鏈接：

https://blog.csdn.net/buside/article/details/92802959?utm_medium=distribute.pc_relevant.none-task-blog--1.control&dist_request_id=1328655.9369.16158574515802585&depth_1-utm_source=distribute.pc_relevant.none-task-blog--1.control

https://blog.csdn.net/ytx2014214081/article/details/80112277

https://www.cnblogs.com/caoguoping100/p/3658792.html

https://www.cnblogs.com/sinferwu/articles/7615276.html

原文鏈接：https://blog.csdn.net/qq_33344148/article/details/114929274?ops_request_misc=%257B%2522request%255Fid%2522%253A%2522166962502316800184133845%2522%252C%2522scm%2522%253A%252220140713.130102334..%2522%257D&request_id=166962502316800184133845&biz_id=0&utm_me
文章知識點與官方知識檔案匹配
演算法技能樹首頁概覽
35079 人正在系統學習中
打開CSDN APP，看更多技術內容

C++ 解析pcap文件_c++ pcap_fulianzhou的博客
#ifndef _PCAP_PARSER_H_ #define _PCAP_PARSER_H_ #include <stdint.h> #pragma pack(1) //pacp文件頭結構體 struct pcap_file_header { uint32_t magic; /* 0xa1b2c3d4 */ uint16_t version_major; /* magjor Versi...
繼續訪問
ProxySQL--靈活強大的MySQL代理層_kaifly的博客_proxysql
~]# date; service iptables restart; tcpmp -i em2 host 192.168.1.34 and port 3306 and host not 192.168.1.10 -w /tmp/sysbench-proxysql-network-issue.pacp 發現,sysbench「一直」在重傳由於iptables新規則而無法返回的幾個請...
繼續訪問
網路安全系列-二十五: PCAP文件格式詳解及讀取PCAP文件源碼示例
在Linux里，pcap是一種通用的數據流格式，是用於保存捕獲的網路數據的一種非常基本的格式。 很多開源的項目都使用這種數據格式，如wireshark、tcpmp、scapy、snort 本文針對pcap的文件格式進行詳解，並提供讀取pcap文件的源代碼示例
繼續訪問
使用wireshark分析tcpmp出來的pcap文件
個人認為tcpmp+wireshark是很精確的，之前在網上查閱移動端流量測試，大多講tcpmp這部分很精細，但是沒有講到詳細使用wireshark分析tcpmp到的.pcap文件，這里做一個詳細的講解，僅供大家參考。 本人wireshark版本是V 2.2.1。tcpmp到的.pcap文件可以直接雙擊打開（默認打開方式為wireshark，或者你在wireshark中選擇打開文件也可以），抓取到的數據包很多，我們需要過濾一些想要的數據，那麼在如圖所示的輸入框中輸入表達式過濾即可： Wire
繼續訪問
2020-2021項目遇到的部分問題 編程語言C++ 編程軟體QT_Qingshan_z的博...
4.需要點擊安裝Win10Pacp文件夾中的對應內容。 更改編譯器後,程序中文字元報錯顯示,包含換行符等字元顯示錯誤 改兩個地方: 改編碼為UTF-8:編輯—Select Encoding—UTF-8—按編碼保存 工具—選項—文本—行為—UTF-8—如果是UTF-8添加...
繼續訪問
BGP路由器協議排錯教程:與平台相關的數據包捕獲工具_AMZ學術的博客-CSDN...
注釋 分析 EPC 捕獲信息最簡單的方式是把這些信息導出到遠端伺服器,並使用Wireshark 讀取導出的.pacp 文件 2.5.3 Ethanalyzer Ethanalyzer 是 NX-OS 中的 TShark 實現。TShark 是終端版本的 Wireshark。它可以在所有 Nexus 平台上捕獲帶...
繼續訪問
linux 下 tcpmp 詳解 前篇（libpcap庫源碼分析）
一 概述 用簡單的話來定義tcpmp，就是：mp the traffic on a network，根據使用者的定義對網路上的數據包進行截獲的包分析工具。 至於tcpmp參數如何使用，這不是本章討論的重點。 liunx系統抓包工具，毫無疑問就是tcpmp。而windows的抓包工具，wireshark也是一款主流的抓包工具。wireshark 使用了winpcap庫。tcpmp...
繼續訪問

pcap抓包庫部分函數說明
學習通過偵聽網卡獲取報文的程序，遇到部分pacp抓包庫中的函數，在查閱資料後，作以下整理說明： 1. pcap_next_ex(): 基於非回調函數的捕獲數據包，參數有三個，一個網卡描述符，兩個指針，兩個指針會被初始化並返回給用戶，一個是pcap_pkthdr結構，一個是接收數據的緩沖區。pcap_pkthdr結構如下所示： struct pcap_pkthdr { struc
繼續訪問
網路安全、Web安全、滲透測試之筆經面經總結(二)_普通網友的博客-CSD...
在Unix/Linux平台上,可以直接使用Socket構造IP包,在IP頭中填上虛假的IP地址,但需要root許可權;在Windows平台上,不能使用Winsock,需要使用Winpacp(也可以使用Libnet)。例如在Linux系統,首先打開一個Raw Socket(原始套接字),然後自己編寫IP...
繼續訪問
Linux_liubo525的博客
文件-新建虛擬機-典型-稍後安裝操作系統-Linux+版本-虛擬機名稱-默認最大磁碟大小+存儲為單個文件2)安裝CentOS操作系統CD/DVD-使用ISO鏡像文件-選擇下載好了的ISO文件-打開虛擬機(開始安裝虛擬機)...
繼續訪問
vlan 報文抓包.pcap
vlan報文，用於文檔資源，學習vlan協議的時，可以下載看一下。
Pcap 數據包捕獲格式詳解
Pcap 是 Packet Capture 的英文縮寫，是一種行業標準的網路數據包捕獲格式。如果你是網路開發人員，那麼通常會使用 Wireshark、Tcpmp 或 WinDump 等網路分析器捕獲 TCP/IP 數據包，而抓包後存檔的文件格式就是 .pcap 文件。 文件格式 Pcap 文件格式是一種二進制格式，支持納秒級精度的時間戳。雖然這種格式在不同的實現中有所不同，但是所有的 pcap 文件都具有如下圖所示的一般結構。 全局報頭 全局報頭（Global Header）包含魔數（Magic nu
繼續訪問

滲透測試工程師面試題大全(164道)_Kal1的博客_滲透測試...
14.拿到一個 webshell 發現網站根目錄下有.htaccess 文件,我們能做什麼? 能做的事情很多,用隱藏網馬來舉例子: 插入<FilesMatch 「xxx.jpg」> SetHandler application/x-httpd-php .jpg 文件會被解析成.php 文件 15.注入漏洞只能查賬...
繼續訪問
dm 數據引流工具_hu5350026的博客_數據引流
log :該應用程序的日誌記錄文件存放的目錄; third :該應用程序依賴的第三方 jar 文件存放的目錄; wapper :該應用程序以服務方式啟動包裝文件的存放目錄; service_start.bat/sh :該應用程序以服務方式啟動時的啟動服務腳本文件; ...
繼續訪問
MISC：流量包取證（pcap文件修復、協議分析、數據提取）
滑鼠協議：每一個數據包的數據區有四個位元組，第一個位元組代表按鍵，當取 0x00 時，代表沒有按鍵、為 0x01 時，代表按左鍵，為 0x02 時，代表當前按鍵為右鍵。第二個位元組可以看成是一個 signed byte 類型，其最高位為符號位，當這個值為正時，代表滑鼠水平右移多少像素，為負時，代表水平左移多少像素。HTTPs = HTTP + SSL / TLS. 服務端和客戶端的信息傳輸都會通過 TLS 進行加密，所以傳輸的數據都是加密後的數據。但是，如果採用主動模式，那麼數據傳輸埠就是 20；
繼續訪問
c語言判斷pcap文件結尾,PCAP文件擴展名 - 什麼是.pcap以及如何打開？ - ReviverSoft...
你在這里因為你有，有一個文件擴展名結尾的​​文件.pcap.文件與文件擴展名.pcap只能通過特定的應用程序推出。這有可能是.pcap文件是數據文件，而不是文件或媒體，這意味著他們並不是在所有觀看。什麼是一 .pcap 文件？該.pcap文件擴展名主要使用Wireshark相關;用於分析網路的程序。 .pcap文件是使用程序創建的數據文件，並且它們包含的...
繼續訪問
UEBA架構設計之路1_lionzl的博客
Tcpmp,tcpflow生成的pacp或流數據,以及其他數據包級和session級信息 性能下降,超時,瓶頸或可疑活動,表明網路可能受到威脅或遠程攻擊 Syslog 路由、交換、其他網路設備 故障、分析、安全審計 WEB訪問日誌 WEB伺服器 WEB分析 PROXY日...
繼續訪問
pcap文件解析--pcap文件頭與包文件頭（一）
初識Pcap文件 在開始讀取pcap文件之前，先讓我們來看看Pcap文件的大概結構。 如上圖所示在一個Pcap文件中存在1個Pcap文件頭和多個數據包，其中每個數據包都有自己的頭和包內容。 下面我們先看看PCAP文件頭每個欄位是什麼意思： magic為文件識別頭，pcap固定為：0xA1B2C3D4。（4個位元組） magor version為主版本號（2個
繼續訪問
pcap文件linux怎麼打開,pcap文件用什麼打開
linux 應用 pcap文件怎麼打開如果你是一個測試入侵偵測系統或一些網路訪問控制策略的網路管理員，那麼你經常需要抓取數據包並在離線狀態下分析這些文件。當需要保存捕獲的數據包時，我們一般會存儲為 libpcap 的數據包格式 pcap，這是一種被許多開源的嗅探工具以及捕包程序請問用什麼軟體打開*.pcap格式的文件？CSS布局HTML小編今天和大家分享解wireshark 怎麼打不開pcap文件...
繼續訪問

Wireshark網路分析實戰——Wireshark的安裝和抓包
一、Wireshark簡介 本節涵蓋以下內容： 安置Wireshark（主機/程序）； 開始抓包； 本書的前言曾提到過網路排障以及內置於Wireshark能幫助排障的各種工具。一旦決定動用Wireshark協議分析軟體，在使用之前，則有必要先確定該軟體在網路中的部署（或安裝）位置。除此之外，還得對該軟體做一些基本的配置，至少應讓其界面看起來更為友好。 用Wireshark執行基本的抓包操作，配置起來並不麻煩，但是該軟體也包含了很多高級配置選項，可用來應對某些特殊情況。這樣的特殊情況包括令Wireshar
繼續訪問

學習筆記——C++實現ARP欺騙
以下代碼大體上是沒有問題的,可以根據自己的一些需求進行修改! 謝謝指正錯誤 在課設期間，從網上學習了簡單的實現ARP欺騙 ARP欺騙的原理很簡單：通過不斷的向目標發送ARP包，致使目標主機的ARP緩存表中正確的IP映射的是錯誤的MAC地址 在書上的介紹中，採用了WinPcap的開發包，這樣很方便的對網卡進行操作 所以，首先需要安裝winpacp，並下載開發者包https://www......
繼續訪問
熱門推薦 pcap文件格式及文件解析
第一部分：PCAP包文件格式 一 基本格式： 文件頭 數據包頭數據報數據包頭數據報...... 二、文件頭： 文件頭結構體 sturct pcap_file_header { DWORD magic; DWORD version_major; DWORD ve
繼續訪問
最新發布 pcap詳解
pcap格式及API詳解
繼續訪問

從pcap文件提取包長度序列
從pcap文件提取包長度序列 1. 抓包 在windows系統，使用wireshark抓取YY語音流數據，最好是單條鏈路單向的。數據存儲為pcap文件。 2. 格式轉換 在linux系統終端，使用tcpmp命令把pcap文件轉成txt文件。 命令為：tcpmp -r input.pcap > output.txt 3. 提取 在windows系統，使用matlab從轉
繼續訪問
Ethernet Packet 解析
目錄 引言 引言 接上篇文章 Pcap文件格式 ，我們分析了Pcap文件的global Header 和 Pcap Packet Header現在來分析一下Pcap Data。因為global Header 定義的 network 01 為 ETHERNET， 所以這篇文章來分析一下Pcap Data為Ethernet Packet類型的數據。 Ethernet Packet 結構 參考文檔 Ethernet_frame--wikipedia IEEE_802.1.
繼續訪問
pcap包解析
pacp包解析 在接觸激光雷達的時候，不可避免的第一步就是看硬體說明書以及調試廠商發的樣例數據。一般情況下，廠商在存儲硬體的數據包的時候，都是通過存儲pacp包實現的，所以如何讀取pacp包，並從中解析出真正有用的數據就變得很重要，接下來我們一步步講。 1.pacp包結構 一個Pcap文件包括「Pcap報頭」，「數據區」兩個部分，其中數據區又分成多個數據包，每個包有報頭和數據兩個部分，總體結構可見...
繼續訪問

pcap文件內容保存為csv文件
將pcap文件內容導出為csv文件
繼續訪問
pacp文件讀取緩存