cap文件格式分析

1、分別使用Sniffer軟件和Utraedit軟件打開(kāi)一個(gè)cap文件注意：這里分析的network.cap文件不是sniffer軟件抓包產(chǎn)生的cap文件，是其他軟件抓包的文件，sniffer抓包的cap文件與此相差很大，從最開(kāi)始的4個(gè)字節(jié)便可以看出。提供的文件格式分析如下。對(duì)比發(fā)現(xiàn)：開(kāi)始的24個(gè)字節(jié)是文件頭部分，接下來(lái)是抓獲到的數(shù)據(jù)包部分，包括16個(gè)字節(jié)的數(shù)據(jù)頭和68個(gè)字節(jié)的數(shù)據(jù)內(nèi)容，數(shù)據(jù)部分重復(fù)出現(xiàn)。PacKmlHeaded|Datai|PacketHead已r2|PacKelD日數(shù)據(jù)內(nèi)容從DLC(數(shù)據(jù)鏈路控制層)頭開(kāi)始，然后Ip報(bào)頭，傳輸層報(bào)頭(TCPUDPICMPIGMP),最后是傳輸層數(shù)

2、據(jù)部分這里每個(gè)數(shù)據(jù)包長(zhǎng)度是68個(gè)字節(jié)。24個(gè)字節(jié)的文件頭部分：netToi-k.ca.pXOOOOOOOOh.：D4C3B2Al02OQ040000000000000000000Q0Q0Q1Q11；ii00QQ00QIQOQ：|J00000020h:EEoaDO0002JJJJDLjj5z_FFFFAID_3;00000033b:D23：E3FS3OE00iSXS2S616SEX00CC二二:000000E1二；_，B5OAQDZGZBFFF7FA丁6G丁tGCLY2；1、標(biāo)識(shí)位magic：32位的，這個(gè)標(biāo)識(shí)位的值是16進(jìn)制的0 xa1b2c3d4。2、主版本號(hào)version_major:16

3、位，默認(rèn)值為0 x2。返回寫入被打開(kāi)文件所使用的pcap函數(shù)的主版本號(hào)。、副版本號(hào)version_minor:16位，默認(rèn)值為0 x04。、區(qū)域時(shí)間thiszone:32位，實(shí)際上該值并未使用，因此可以將該位設(shè)置為0。、精確時(shí)間戳sigfigs：32位，實(shí)際上該值并未使用，因此可以將該值設(shè)置為0。、數(shù)據(jù)包最大長(zhǎng)度snaplen：32位，該值設(shè)置所抓獲的數(shù)據(jù)包的最大長(zhǎng)度，如果所有數(shù)據(jù)包都要抓獲，將該值設(shè)置為65535；例如：想獲取數(shù)據(jù)包的前64字節(jié)，可將該值設(shè)置為64。這里是0 x44,表示數(shù)據(jù)包的前68字節(jié)。、鏈路層類型linktype：32位，數(shù)據(jù)包的鏈路層包頭決定了鏈路層的類型。這里是0

4、x01，表示鏈路層是以太網(wǎng)類型。以下是數(shù)據(jù)值與鏈路層類型的對(duì)應(yīng)表0BSDloopbackdevices,exceptforlaterOpenBSD1Ethernet,andLinuxloopbackdevices以太網(wǎng)類型，大多數(shù)的數(shù)據(jù)包為這種類型。6802.5TokenRing7ARCnetSLIPPPPFDDILLC/SNAP-encapsulatedATMrawIP,withnolinkBSD/OSSLIPBSD/OSPPPCiscoHDLC802.11108laterOpenBSDloopbackdevices(withtheAF_valueinnetworkbyteorder)spe

5、cialLinuxcookedcaptureLocalTalk下面只對(duì)第一個(gè)數(shù)據(jù)包分析，后面的數(shù)據(jù)包格式類似。16字節(jié)的數(shù)據(jù)包頭結(jié)構(gòu)數(shù)據(jù)包頭內(nèi)容依次是時(shí)間戳、當(dāng)前數(shù)據(jù)包的長(zhǎng)度和實(shí)際數(shù)據(jù)包的長(zhǎng)度。(1)時(shí)間戳，包括：秒計(jì)時(shí)：2位，一個(gè)UNIX格式的精確到秒時(shí)間值，用來(lái)記錄數(shù)據(jù)包抓獲的時(shí)間，記錄方式是記錄從格林尼治時(shí)間的1970年1月1日00:00:00到抓包時(shí)經(jīng)過(guò)的秒數(shù)。這里是0X51B2F9EE，經(jīng)粗略計(jì)算可以得到當(dāng)前年份是2013年，對(duì)應(yīng)的月日分秒沒(méi)有去詳細(xì)計(jì)算。毫秒計(jì)時(shí)：32位，抓取數(shù)據(jù)包時(shí)的毫秒值。這里是0 x00028149。數(shù)據(jù)包長(zhǎng)度：32位，標(biāo)識(shí)所抓獲的數(shù)據(jù)包保存在pcap文件中的

6、實(shí)際長(zhǎng)度，以字節(jié)為單位。這里是0 x44，即有68個(gè)字節(jié)，與文件頭中規(guī)定的一致。數(shù)據(jù)包實(shí)際長(zhǎng)度：所抓獲的數(shù)據(jù)包的真實(shí)長(zhǎng)度，如果文件中保存不是完整的數(shù)據(jù)包，那么這個(gè)值可能要比前面的數(shù)據(jù)包長(zhǎng)度的值大。這里是0 x0214,表示有532個(gè)字節(jié)?？梢钥隙?，每個(gè)數(shù)據(jù)包的數(shù)據(jù)包頭內(nèi)容都不會(huì)相同，有些部分內(nèi)容是相近的。數(shù)據(jù)包內(nèi)容通常就是鏈路層的數(shù)據(jù)幀，長(zhǎng)度就是Caplen，這個(gè)長(zhǎng)度的后面，就是當(dāng)前PCAP文件中存放的下一個(gè)Packet數(shù)據(jù)包，也就是說(shuō)：PCAP文件里面并沒(méi)有規(guī)定捕獲的Packet數(shù)據(jù)包之間有什么間隔字符串，下一組數(shù)據(jù)在文件中的起始位置，我們需要靠第一個(gè)Packet包確定。最后，Packet數(shù)

7、據(jù)部分的格式其實(shí)就是標(biāo)準(zhǔn)的網(wǎng)路協(xié)議格式了可以任何網(wǎng)絡(luò)教材上找得到。network.eapX|9?4?早V9a00000000b:r-二三E2AL022DC-20000001011：0000aaCCaaQQQQ79E25L32=L2200000020?：:000000C-20000|oiaa5E7FFFFA107S00000030b:D29S匚F5308aa4Sa026165Eoaao0100000040b:7B57oa.OD2C2EEFFFFFFA.076C07C01F2OOOQOQSQh:773今EIF吒石59202A2085502F00000060b:312E31DOk186F73743A

8、3233|79525100000070n:kCzL0200E0000003202三三三三說(shuō)明：這里每個(gè)數(shù)據(jù)包的長(zhǎng)度是68個(gè)字節(jié)，包括14字節(jié)的DLC，20字節(jié)的IP報(bào)頭，以及后面的34字節(jié)IP數(shù)據(jù)部分。每個(gè)數(shù)據(jù)包的前14字節(jié)是以太幀頭，即鏈路層的數(shù)據(jù)幀頭，后面才是ip首部等內(nèi)容。對(duì)圖中選中部分簡(jiǎn)要分析：1、14字節(jié)的以太幀頭：分別是6字節(jié)的目的端MAC地址，6字節(jié)的源端MAC地址，2字節(jié)的協(xié)議類型字段。協(xié)議類型字段標(biāo)注了跟隨數(shù)據(jù)的類型，最常見(jiàn)的有0 x0800IP數(shù)據(jù)報(bào)、0 x0806ARP數(shù)據(jù)報(bào)、0 x0835RARP數(shù)據(jù)報(bào)，如果該字段的取值為0 x0000-0 x05c十進(jìn)制的0-1500

9、)，則該幀就不是Ethernetll類型了，而是IEEE802.3幀類型之一。這里協(xié)議類型是0 x0800,表示后面的數(shù)據(jù)內(nèi)容是IP數(shù)據(jù)報(bào)。Q:-:二W-EILD2eCF530500OOOOOOOOh:D4C332AlQ:-:二W-EILD2eCF530500OOOOOOOOh:D4C332Al02000吐000000000000000000jjjjjOlDh:匚匚0000000100CIO00ELF9B2=LQ9=122000000020h:4400000014020000mXQU_E5_QAOD2G2B三于FFFFAC6G二一6G二匚F22222205Dt:G_c2F5遼5?202AZ2W

10、三55532F2、20字節(jié)的IP報(bào)頭netvorlk.capX1q?4$7?q耳OOOOOOOOh:D4C332Al020004000000000000000000fOOOOOOlOh:4400000001000000EEF9325149SI0200f00000020h:二0000S3ItG20000cc00SEFFFA13_EfO00OO03Oh:D2SzCF533S00I45002O165E000001111f00000040h:7E570A0D2C2BEFFFFFfa|j-6:G-6Ccc72fooaoooson：7_34E4FSt4?46592D2A23我衛(wèi)衛(wèi)SD2Ffoooaooeo

11、h：S二2ESL3D3A45FS3A32S3EEF9B2SLfrBaElQIFQIPVersion=4.he-s.derlength=20bytesUipDiffServField=OzOOQipODDODO.=DCP-D.BestEffortIPUU=ECT一TransportprotccolwillnotparticipateinECHQipTotalLength=518bytesIPIdentifi匸:且ti匚口=5726耳IPFlags=OzOQip=mayfragmentIP.0=lastfragmentQIFFragmentoffset-0bytesIPTimeto1ive=1se

12、conds/hopsUipProtocol=17(UDP)QipHeaderche匚ksum=Dz7B57(corre匚t)QipSourceaddress=10.13.44.43QIFDestinationaddress=239.255.255.250IPNo口匚比i匚in；m血舐木*檢空算整廈u竝JK#類堂Gw)t魁算識(shí)注Kr荷邯蛇蟄處也耳的擠頂有)竝充檢寸檢版4：誼口|*訖的版本號(hào)41.映1艸的TPWSJfiK*TOS董wWLM寸足，草K帝吐*Kf*t4l*小牌用四敗”當(dāng)尺全為o董朮剜務(wù)沖僅血洛算中岐和祝禪嘯饑桶躍粧H：Ar中忡JH啟栽膽摳益繪博一的農(nóng)用出J*朋描啣：為m農(nóng)歩比詒辻培料商

13、出時(shí)堵uni忑盤的:大他鶴字節(jié)希出吋誡詮攙擷町戯童為脫啦港當(dāng)冋搐靜羽；1_襄朋匡酸樺挪十可分陽(yáng).DKrSo.-為i丟曲航血還莉分hi*JSmnt弧幵M號(hào)斟Ki占曲先;整*Et廐宙中踰址的檢亶H忖悚作時(shí)阿HliftM葉fibWSt)KJHWlMftf1|ZlMaEtEjMl.宜刊砌“匸Mf(KWJz*r,fFSG.iX娜停說(shuō)的舟償必改Jt!f蟲(chóng)rm1nii.iniixotFoxziiM也目郵起與科輪訐銅孜nc理中諛啊擁比.st曲表術(shù)昶骸itt*.商則轎m氏甘亠詵顧耐JM1的事條業(yè)卷IK護(hù)加窕琲槿唆,4H8中咖埠?jiǎn)锡埳鼘?duì)誌據(jù)搭41茫靜丼為血也的松鐵倍ftK蝕捽卜無(wú)的佔(zhàn)1星大涉齊if)3、后面的34字節(jié)是IP報(bào)的數(shù)據(jù)部分，從IP報(bào)頭可以看出，數(shù)據(jù)部分是UDP數(shù)據(jù)，也細(xì)分為UDP報(bào)頭和UDP數(shù)據(jù)部分。D.etwork.capXQ1OOOOOOOOh:DECcE2A.L0200Z000000000000000000OOOOOOlOti!匚匚000000CL000000三T