CAP文件格式<o:p></o:p>
1、文件头
|
00000000h: 58 43 50 00 30 30 32 2E 30 30 32 00 98 5E 29 45 ; XCP.002.002<o:p></o:p>
00000010h: F0 49 02 00 2D 37 3D 02 80 00 00 00 2D 37 3D 02 ; <o:p></o:p>
00000020h: 00 00 00 00 00 00 00 00 2D 37 3D 02 00 00 00 00 ; <o:p></o:p>
00000030h: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ; <o:p></o:p>
00000040h: 00 00 00 00 00 00 00 00 14 00 04 00 99 9E 36 00 ; <o:p></o:p>
00000050h: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ; <o:p></o:p>
00000060h: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ; <o:p></o:p>
00000070h: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ;
|
文件类型标识 00-02 3字节, 为XCP<o:p></o:p>
版本号: 04-0A 7字节<o:p></o:p>
开始抓包时间 0C-0F 4字节 time_t类型的值<o:p></o:p>
与包数有关的值 10-13 4字节 代表意义不详<o:p></o:p>
与包总长度有关的值 该值重复存储三次 代表意义不详<o:p></o:p>
<o:p></o:p>
说明:文件头长128字节,数据域从128字节后开始。
2、数据段
|
00000080h: 18 2F 00 00 00 00 00 00 3C 00 3C 00 00 00 00 00 <o:p></o:p>
00000090h: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 <o:p></o:p>
000000a0h: 00 00 00 00 00 00 00 00 FF FF FF FF FF FF 00 40 <o:p></o:p>
000000b0h: 9E 00 6A FE 08 06 00 01 08 00 06 04 00 01 00 40 <o:p></o:p>
000000c0h: 9E 00 6A FE 0A 02 10 0F 00 00 00 00 00 00 0A 02 <o:p></o:p>
000000d0h: 10 10 00 00 00 00 00 00 00 00 00 00 00 00 00 00 <o:p></o:p>
000000e0h: 00 00 00 00
|
微秒数 4字节 从文件头的开始抓包时间开始的微秒数 1微秒=1/1,000,000秒<o:p></o:p>
数据域的长度 2字节 连续重复两次<o:p></o:p>
目的网卡物理地址 6字节 <o:p></o:p>
源网卡物理地址 6字节<o:p></o:p>
INTERNET协议标识 2字节 0806为ARP协议, 0800为IP协议<o:p></o:p>
数据域
<o:p></o:p>
说明:
·每个数据段分头和数据域部分,头长度固定为40字节
·数据域的长度表示的是从网卡目的物理地址开始到一个数据段的字节数
分享到:
相关推荐
CAP文件格式,通常关联于网络抓包工具,如Wireshark(原名为Ethereal)使用的数据文件格式。这种文件格式被用来存储网络通信的数据包,以便进行网络分析和故障排查。下面我们将深入探讨CAP文件格式的结构和关键组件...
1.cap文件是通用的抓包文件格式,windows下的ethereal和Linux下的tcpdump所抓的包均为CAP文件的格式。 2.本代码解析cap文件,提取指定类型的数据包,写入文件。 3.文件格式为:4字节长度(小头)+包内容
Ethereal 支持多种格式的数据包文件,如 pcap 和 pcapng。 5.2 **导出文件** 用户可以选择导出为纯文本、PostScript、CSV 或 PSML 格式,方便进一步分析和处理。 通过以上内容,你应该对 Ethereal 的基本功能和...
在Ethereal中分析DNS流量,我们可以观察到域名解析的过程,包括DNS查询和响应报文的格式、类型、查询的域名、返回的IP地址等。这有助于诊断域名解析问题,如DNS缓存中毒、解析延迟或解析错误。 3. ARP(地址解析...
你可以选择保存为Ethereal的捕获文件(.pcap或.pcapng)或其他通用格式,如CSV或XML。 总的来说,Ethereal是网络分析的必备工具,无论你是新手还是经验丰富的网络工程师,都能通过学习和使用Ethereal提升对网络通信...
本文将探讨Ethereal的报文分析,特别是其文件头格式。 Ethereal的文件头包含了关键信息,用于识别和解析网络报文。首先,文件头中有40个字节的未知内容,接着是第一个报文的以太网地址。每个报文结束后会有16个字节...
Ethereal中文使用说明找了好久,好几天上班没事就找这个资料,今天有幸一个朋友传送给我..太感谢!!CSDN也有一个,只不过是英文的.咱不是这方面强项所以.上传一个供大家下载.为了支持CSDN下载功能.需要1分就可以下载!
抓包工具Ethereal使用说明 抓包工具Ethereal是一个非常实用的软件,常用于网络协议分析和网络故障排除。下面是Ethereal使用说明的详细介绍: 启动Ethereal 1. 启动Ethereal程序,双击Ethereal图标或从开始菜单中...
- `Save`和`Save As`允许保存捕获结果,需要注意文件类型的选择,libpcap格式适用于Linux下的tcpdump,而Sniffer格式则允许Ethereal和Sniffer软件之间互换文件。 5. **编辑功能**: - `Edit`菜单中的`Find Packet...
基于 Ethereal 分析协议数据包的知识点 一、Ethereal 概述 Ethereal 是一个图形用户接口(GUI)的网络嗅探器,能够完成与 Tcpdump 相同的功能,但操作界面要友好很多。Ethereal 和 Tcpdump 都依赖于 pcap 库...
Ethereal是一款广泛使用的网络封包分析软件,它能够捕获并解析网络流量,帮助工程师理解网络通信的细节。当这两个概念结合,即MMS-Ethereal,我们就得到了一个强大的智能变电站报文解析工具。 MMS协议基于TCP/IP,...
8. 文件存储和导入导出:Ethereal可以将捕获的数据包保存为 pcap 文件格式,便于后期分析。源码分析可以解释数据包是如何被序列化和反序列化的。 9. 脚本支持:Ethereal支持使用lua脚本进行自动化任务,如批处理...
- **文件导入导出**:兼容其他抓包工具的文件格式,便于数据交换。 - **协议解码**:支持广泛的协议分析,包括但不限于TCP/IP、HTTP、DNS等。 - **开源**:允许用户自由获取源代码,进行二次开发或定制。 ### 1.3 ...
在提供的文件列表中,我们看到"ethereal-setup-0.10.14.exe"是Ethereal的安装程序。用户可以通过这个执行文件来安装Ethereal V0.10.14版本。安装过程中,用户通常需要选择安装路径,接受许可协议,并根据需求配置...
- 下载:首先,获取"MMS_Ethereal v120.exe"安装文件。 - 运行:双击运行安装程序,按照提示进行操作。 - 授权:根据软件许可协议,接受条款并输入可能需要的许可证信息。 - 选择组件:选择需要安装的组件,通常...
在压缩包文件名称"ethereal-setup-0.10.12"中,我们可以推断出这是一个安装程序文件,可能包含有Ethereal的可执行文件、配置文件、帮助文档等相关组件。安装这个程序后,用户便可以在自己的计算机上启动Ethereal进行...
以下是对Ethereal使用方法的详细说明。 1. **Ethereal的功能与特点** - **Ethereal是什么?** 它是一个网络分析工具,能够捕获网络上的数据包并进行解码,以帮助理解网络通信的细节。 - **能做什么?** Ethereal...
7. **捕包文件导出**:捕获的数据包可以保存为 pcap 或 pcapng 格式的文件,方便后续分析或与其他工具交换。 8. **中文说明书**:对于初学者来说,有中文版的用户指南是极好的,能够帮助他们快速理解和上手操作,...