`
hulunberbus
  • 浏览: 876347 次
文章分类
社区版块
存档分类
最新评论

ethereal文件格式libpcap

 
阅读更多
libpcap 的数组表示:低位在前
文件头 24字节
1 32-bit magic number
D4C3B2A1
2 16-bit major version number 0200
3
16-bit minor version number 0400
4 32-bit time zone offset 未使用 全零
5 32-bit time stamp accuracy 未使用 全零
6 32-bit snapshot length
7 32-bit link layer type
	0		BSD loopback devices, except for later OpenBSD
1 Ethernet, and Linux loopback devices
6 802.5 Token Ring
7 ARCnet
8 SLIP
9 PPP
10 FDDI
100 LLC/SNAP-encapsulated ATM
101 "raw IP", with no link
102 BSD/OS SLIP
103 BSD/OS PPP
104 Cisco HDLC
105 802.11
108 later OpenBSD loopback devices (with the AF_value in network byte order)
113 special Linux "cooked" capture
114 LocalTalk

帧头 16字节
1 32-bit
time zone offset 秒
2 32-bit time stamp accuracy 毫秒
3 32-bit captured length
4 32-bit
packet length
[用户数据]


对于
Ethernet, and Linux loopback devices
以太网包头
1 48-bit 目标 Physical Address
2 48-bit 源 Physical Address
3 16-bit 类型
0x0800 IP包
0x0805 ARP包
[以太网数据]


对于IP包可参照TCP/IP中的说明
分享到:
评论

相关推荐

    Linux下实现libpcap抓包并保存在文件里的示例程序及参考文档

    `.pcap`文件是libpcap的标准存储格式,可以被许多网络分析工具读取,如Wireshark。二进制文件可能用于自定义的存储或分析格式。 提供的两份PDF文档——`libpcapHakin9LuisMartinGarcia.pdf`和`ethereal-tcpdump-...

    Ethereal源码分析报告

    8. 文件存储和导入导出:Ethereal可以将捕获的数据包保存为 pcap 文件格式,便于后期分析。源码分析可以解释数据包是如何被序列化和反序列化的。 9. 脚本支持:Ethereal支持使用lua脚本进行自动化任务,如批处理...

    CAP文件格式

    如果你想创建一个可以被Ethereal(Wireshark)解析的CAP文件,你需要遵循libpcap库的文件格式。libpcap文件头的结构如下: - `magic`:libpcap的魔数,识别文件类型。 - `version_major`和`version_minor`:...

    ethereal的使用详解

    - `Save`和`Save As`允许保存捕获结果,需要注意文件类型的选择,libpcap格式适用于Linux下的tcpdump,而Sniffer格式则允许Ethereal和Sniffer软件之间互换文件。 5. **编辑功能**: - `Edit`菜单中的`Find Packet...

    Ethereal源码分析报告.pdf

    - Ethereal使用libpcap格式存储捕获的数据,与tcpdump兼容。 - 它还可以读取其他捕包软件(如Wireshark前身的Ethereal自身)生成的多种文件格式。 - 除了libpcap格式,Ethereal支持将数据包保存为文本、Post...

    ethereal的使用培训文档,ethereal的使用详解.ppt

    需要注意的是,Ethereal默认保存为libpcap格式,若要与Sniffer兼容,需选择保存为Sniffer 1.1或2.0格式。 Edit菜单下的"Find Packet"功能用于搜索特定报文,支持多种查找条件。"Find Next"和"Find Previous"则用于...

    Ethereal 封包分析详细介绍

    1. **下载与解压**:首先下载ethereal-0.10.13.tar.gz文件,然后解压该文件。 ```bash tar zxvf ethereal-0.10.13.tar.gz cd ethereal-0.10.13 ``` 2. **配置与编译**:进行编译前的参数设定,如指定安装路径...

    实验 Ethereal使用方法

    Ethereal 和 Tcpdump 都依赖于 pcap 库(libpcap),因此两者在许多方面非常相似(如都使用相同的过滤规则和关键字)。 1. Ethereal 的安装 Ethereal 需要 WinPcap 库,故首先需要安装 WinPcap_2_3.exe,然后安装 ...

    Ethereal的使用详解教程PPT

    默认是libpcap格式,如果要让Ethereal和Sniffer兼容,应选择sniffer (Windows-based) 1.1或2.0格式。 4. **其他功能** - "Export"可以导出捕获的数据。 - "Print"支持打印抓包结果。 - "Quit"退出Ethereal。 5....

    Ethereal软件下载与安装手册

    - 捕获的数据包可以通过菜单栏中的“File”->“Save”或“Save As”选项保存为`.cap`文件格式。 - 保存后的文件可以在未来需要时通过“File”->“Open”重新加载并进行分析。 #### 五、总结 通过上述步骤,您可以...

    ethereal filter使用

    Ethereal支持的捕获过滤器语言与Tcpdump类似,但Ethereal本身并不依赖于PCap库(Windows系统下的Winpcap或Linux系统下的libpcap),而是内置了对捕获过滤器的支持。 ##### 显示过滤器(Display Filter) 显示过滤...

    libpcap编程 网络编程 网络数据包获取方法

    - `Ethereal`(现称为Wireshark):一个强大的网络协议分析器,利用`libpcap`捕获和解析数据包。 `libpcap` 的灵活性和可移植性使其成为网络编程中的标准工具,对于开发网络监控和安全解决方案的工程师来说,掌握`...

Global site tag (gtag.js) - Google Analytics