精华内容
下载资源
问答
  • pcap文件用什么打开

    千次阅读 2021-05-14 14:29:45
    linux 应用 pcap文件怎么打开如果你是一个测试入侵侦测系统或一些网络访问控制策略的网络管理员,那么你经常需要抓取数据包并在离线状态下分析这些文件。当需要保存捕获的数据包时,我们一般会存储为 libpcap 的...

    linux 应用 pcap文件怎么打开

    如果你是一个测试入侵侦测系统或一些网络访问控制策略的网络管理员,那么你经常需要抓取数据包并在离线状态下分析这些文件。当需要保存捕获的数据包时,我们一般会存储为 libpcap 的数据包格式 pcap,这是一种被许多开源的嗅探工具以及捕包程序

    请问用什么软件打开*.pcap格式的文件?

    19e5e36326bd2b5a88bac30c2813183b.gif

    CSS布局HTML小编今天和大家分享解wireshark 怎么打不开pcap文件???

    wireshark保存的文件一般默认的就是pcap的,怎么一些电脑能打开一些打不如果是从wireshark的界面打开,是不是也打不开?应该没这个问题的。很多同事电脑也不一样的,都可以正常打开的。 其实这个就是个文件关联,跟wireshark没有任何关系。我也被你迷惑了,以为是从wireshark的菜单都打不开的。

    在网页上怎么能够调用本地的应用打开一个pcap包

    我在网页上展示pcap 文件我希望能够在页面上点击的时候就能调用本地的wa本地是指浏览器客户端的话,可以在浏览器的文件打开方式里设置(比如Firefox就就可以设置某种类型的文件怎样打开,是直接下载还是用某个程序打开等)。如果你是指点击Web服务器端的pcap文件,然后在服务器端就解析这种文件格式。

    为什么.pcap文件的默认打开程序改不了,始终是Tshark

    在windows7在打开.pcap文件的默认打开程序改不了,始终是Tshark。在打开有的是某些软件的流氓行为。就像我么的主页,你设置的好好的莫名其名就变成了别的……

    你打开“Tshark”,在这个软件的设置内把文件关联改掉,取消关联“.pcap "试试。实在不行干脆卸掉。

    系统修复、强力杀毒看看能不能解决你的问题。

    linux pcap 文件怎么打开

    你应该使用pcap库 搜搜有关pcap库的使用就行了 学学相关函数的使用 pcap_create() pcap_activate() pcap_open_offline() 等等

    使用wireshark打开pcap

    问一下,我的pcap格式的数据是从网上下载的,大小有1.3G,无法用wiresha因为内存没那么大 存放 可以使用基于进程抓包QPA工具,抓包分析更加简单。

    安卓抓包的pcap格式的用什么文件查看器打开啊?我可以用Wireshark软件打开 是pc端软件

    抓包pcap文件怎么打开?

    wireshark 也可以使用基于进程抓包QPA工具 可以打开大包

    tcpdump抓包pcap怎么打开

    tcpdump抓包pcap怎么打开 搜索资料 我来答 分享 微信扫一扫 网络繁忙请稍后重试 新浪微博 QQ空间 举报 浏览8 次 本地图片 图片链接 代码 提交回答 匿名

    展开全文
  • python读取pcap文件

    2020-12-04 05:55:17
    Ethertype(十六进制)协议0x0000-0x05DCIEEE802.3长度0x0101–0x01FF实验0x0600XEROXNSIDP0x06600x0661DLOG0x0800网际协议(IP)0x0801X.75Internet0x0802NBSInternet0x0803ECMAInternet0x0804Chaosnet0x0805X.25Level...

    Ethertype(

    十六进

    )

    协议

    0x0000 - 0x05DC

    IEEE 802.3

    长度

    0x0101

    0x01FF

    实验

    0x0600

    XEROX NS IDP

    0x0660 0x0661

    DLOG

    0x0800

    网际协议(

    IP

    )

    0x0801

    X.75 Internet

    0x0802

    NBS Internet

    0x0803

    ECMA Internet

    0x0804

    Chaosnet

    0x0805

    X.25 Level 3

    0x0806

    地址解析协议(

    ARP

    Address Resolution Protocol

    )

    0x0808

    帧中继

    ARP

    (

    Frame Relay ARP

    )

    [RFC1701]

    0x6559

    原始帧中继(

    Raw Frame Relay

    )

    [RFC1701]

    0x8035

    动态

    DARP

    (

    DRARP

    Dynamic RARP

    )

    反向地址解析协议(

    RARP

    Reverse Address Resolution

    Protocol

    )

    0x8037

    Novell Netware IPX

    0x809B

    EtherTalk

    0x80D5

    IBM SNA Services over Ethernet

    0x 80F 3

    AppleTalk

    地址解析协议(

    AARP

    AppleTalk Address

    Resolution Protocol

    )

    0x8100

    以太网自动保护开关

    (

    EAPS

    Ethernet

    Automatic

    Protection

    Switching

    )

    0x8137

    因特网包交换(

    IPX

    Internet Packet Exchange

    )

    展开全文
  • 主要介绍了java抓包后对pcap文件解析示例,需要的朋友可以参考下
  • 原始pcap文件

    2017-10-07 13:34:10
    《使用libpcap库过滤pcap文件中的数据包》文章中使用的原始输入文件。
  • pcap文件详解

    千次阅读 2020-09-10 09:17:48
    普通的记事本打开pcap文件显示的是乱码,用安装了HEX-Editor插件的Notepad++打开,能够以16进制数据的格式显示,用wireshark这种抓包工具就可以正常打开这种文件,愉快地查看里面的网络数据报了,同时wireshark也...

    一.简介

        pcap文件是常用的数据报存储格式,可以理解为就是一种文件格式,只不过里面的数据是按照特定格式存储的,所以我们想要解析里面的数据,也必须按照一定的格式。普通的记事本打开pcap文件显示的是乱码,用安装了HEX-Editor插件的Notepad++打开,能够以16进制数据的格式显示,用wireshark这种抓包工具就可以正常打开这种文件,愉快地查看里面的网络数据报了,同时wireshark也可以生成这种格式的文件。当然这些工具只是我经常使用的,还有很多其它能够查看pcap文件的工具。

     

    初识Pcap文件

    在开始读取pcap文件之前,先让我们来看看Pcap文件的大概结构。

     

     pcap文件格式    

        如上图所示,pcap文件的总体结构就是文件头-数据包头1-数据包1-数据包头2-数据包2等形式,为什么要这么设计,看完下面的你就懂了。

    1.Pcap Header

        文件头,每一个pcap文件只有一个文件头,总共占24(B)字节,以下是总共7个字段的含义。

        Magic(4B):标记文件开始,并用来识别文件和字节顺序。值可以为0xa1b2c3d4或者0xd4c3b2a1,如果是0xa1b2c3d4表示是大端模式,按照原来的顺序一个字节一个字节的读,如果是0xd4c3b2a1表示小端模式,下面的字节都要交换顺序。现在的电脑大部分是小端模式。

        Major(2B):当前文件的主要版本号,一般为0x0200

        Minor(2B):当前文件的次要版本号,一般为0x0400

        ThisZone(4B):当地的标准事件,如果用的是GMT则全零,一般全零

        SigFigs(4B):时间戳的精度,一般为全零

        SnapLen(4B):最大的存储长度,设置所抓获的数据包的最大长度,如果所有数据包都要抓获,将值设置为65535

        LinkType(4B):链路类型。解析数据包首先要判断它的LinkType,所以这个值很重要。一般的值为1,即以太网

        常用的LinkType(链路类型):

       0              BSD loopback devices, except for later OpenBSD

       1              Ethernet, and Linux loopback devices

       6              802.5  Token Ring

       7              ARCnet

       8              SLIP

       9            PPP

       10             FDDI

       100            LLC/SNAP-encapsulated  ATM 

       101            "raw IP", with no link

       102             BSD/OS  SLIP

       103             BSD/OS  PPP

       104             Cisco  HDLC

       105             802.11

       108             later OpenBSD loopback devices (with the AF_value in network byte order)

       113             special  Linux  "cooked"  capture

       114             LocalTalk

    2.Packet Header

     数据包头可以有多个,每个数据包头后面都跟着真正的数据包。数据包头则依次为:时间戳(秒)、时间戳(微妙)、抓包长度和实际长度,依次各占4个字节。以下是Packet Header的4个字段含义

     Timestamp(4B):时间戳高位,精确到seconds,这是Unix时间戳。捕获数据包的时间一般是根据这个值

     Timestamp(4B):时间戳低位,能够精确到microseconds

     Caplen(4B):当前数据区的长度,即抓取到的数据帧长度,由此可以得到下一个数据帧的位置。

     Len(4B):离线数据长度,网路中实际数据帧的长度,一般不大于Caplen,多数情况下和Caplen值一样

    3.Packet Data   

     Packet是链路层的数据帧,长度就是Packet Header中定义的Caplen值,所以每个Packet Header后面都跟着Caplen长度的Packet Data。也就是说pcap文件并没有规定捕获的数据帧之间有什么间隔字符串。Packet数据帧部分的格式就是标准的网络协议格式了。

    最后来个实例,pcap文件的16进制格式

    红色部分是Pcap Header,蓝色部分是Packet Header,当然这是从pcap文件的起始部分开始的。希望别嫌弃这扭曲的线条

    Pcap Header的Magic:d4 c3 b2 a1,表示是小端模式,后面的字节从后往前读。

    Pcap Header的Major:02 00,计算机读的应该是00 02。最大存储长度SnapLen:ff ff 00 00 ,同理计算机读的应该是00 00 ff ff,所以是2的16次方减一,是65535个字节。LinkType:01 00 00 00 ,实际是00 00 00 01,是以太网类型。

    蓝色部分的Packet Header我就不一一说了,重点关注Caplen:c5 01 00 00,计算机读的是00 00 01 c5,转换成十进制就是453,所以后面的453个字节都是一个数据帧。之后就又是一个Pcap Header,如此循环。

    同样的文件用wireshark打开看一下:

     可以看到第一个数据帧,就是453个字节。还可以看底下的数据帧的16进制原始数据和上面蓝色部分之后的数据是不是一样。

     

    读取各个数据包到单个pcap文件

    c代码:

    pcap_header.h

     
    1. #pragma pack( push, 1)

    2. // 为了保证在windows和linux下都能正常编译,放弃使用INT64或者_int_64

    3. typedef short _Int16;

    4. typedef long _Int32;

    5. typedef char Byte;

    6.  
    7. // Pcap文件头

    8. struct __file_header

    9. {

    10. _Int32 iMagic;

    11. _Int16 iMaVersion;

    12. _Int16 iMiVersion;

    13. _Int32 iTimezone;

    14. _Int32 iSigFlags;

    15. _Int32 iSnapLen;

    16. _Int32 iLinkType;

    17. };

    18.  
    19. // 数据包头

    20. struct __pkthdr

    21. {

    22. _Int32 iTimeSecond;

    23. _Int32 iTimeSS;

    24. _Int32 iPLength;

    25. _Int32 iLength;

    26. };

    27.  
    28. #pragma pack( pop)


    main.c

     
    1. #include<stdio.h>

    2. #include"pcap_header.h"

    3. #include<memory.h>

    4. #include<stdlib.h>

    5. #include<math.h>

    6.  
    7. int main()

    8. {

    9. struct __pkthdr data;

    10. struct __file_header header;

    11. FILE* pFile = fopen( "iupsc.pcap", "rb");

    12. if( pFile == 0)

    13. {

    14. printf( "打开pcap文件失败");

    15. return 0;

    16. }

    17.  
    18. fseek( pFile, 0, SEEK_END);

    19. long iFileLen = ftell( pFile);

    20. fseek( pFile, 0, SEEK_SET);

    21.  
    22. Byte* pBuffer = (Byte*)malloc( iFileLen);

    23. fread( (void*)pBuffer, 1, iFileLen, pFile);

    24. fclose( pFile);

    25.  
    26. memcpy( (void*)&header, (void*)(pBuffer)

    27. , sizeof(struct __file_header));

    28.  
    29. int iIndex = sizeof(struct __file_header);

    30. int iNo = 1;

    31. while(iIndex <= iFileLen)

    32. {

    33. memcpy( (void*)&data, (void*)(pBuffer + iIndex)

    34. , sizeof(struct __pkthdr));

    35.  
    36. char strPath[51];

    37. sprintf( strPath, "export/%d-%d.pcap", iNo++, (int)data.iTimeSecond);

    38. strPath[50] = '\0';

    39.  
    40. FILE* pwFile = fopen( strPath, "wb");

    41.  
    42. fwrite((void*)&header, 1, sizeof(struct __file_header), pwFile);

    43. fwrite( (void*)(pBuffer + iIndex), 1,

    44. sizeof(struct __pkthdr) + data.iPLength, pwFile);

    45. fclose( pwFile);

    46.  
    47.  
    48. iIndex += sizeof(struct __pkthdr) + data.iPLength;

    49. }

    50.  
    51. free( pBuffer);

    52. printf( "成功导出%d个文件", iNo - 1);

    53. return 1;

    54. }

    展开全文
  • 今天小编就为大家分享一篇利用Python库Scapy解析pcap文件的方法,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
  • Android 下抓数据包存pcap 打印数据内容 分析pcap文件工具。 需要root, ./deal_pcap -f Pcap_file_path The path to save captured data or where the file to be parsed.\n\ -l How many valid data to be print ...
  • 今天小编就为大家分享一篇使用PYTHON解析Wireshark的PCAP文件方法,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
  • 支持j将velodynelidar采集的点云数据转化为常用的pcd或ply格式进行处理。
  • 今天小编就为大家分享一篇python 抓包保存为pcap文件并解析的实例,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
  • 前段时间因工作要求,需要对各种数据包进行分析和操作,内容涉及网路协议分析,socket,文件操作等。在此分享下学习和实践的经验。首先介绍下网络抓包、协议分析的必备软件Ethereal,新版(Wireshark)以下还以...

    前段时间因工作要求,需要对各种数据包进行分析和操作,内容涉及网路协议分析,socket,文件操作等。在此分享下学习和实践的经验。

    首先介绍下网络抓包、协议分析的必备软件Ethereal,新版(Wireshark)以下还以Ethereal代之,目前最新版本已经支持在无线局域网抓包了。Linux和Windows均有对应安装包,它们分别是gcc和VC++编译的。不过Windows下是基于Winpcap而Linux下则是Libcap。Ethereal作为网路协议分析、学习、开发的敲门软件,其使用技巧及其原理机制(BPF)网上都有比较详尽的介绍,当初我收集的相关资料随后也会上传,不再多说。下面主要介绍下Ethereal默认的*.pcap文件保存格式。

    2125551_1.gif

    Pcap文件头24B各字段说明:

    Magic:4B:0x1A 2B 3C 4D:用来标示文件的开始

    Major:2B,0x02 00:当前文件主要的版本号

    Minor:2B,0x04 00当前文件次要的版本号

    ThisZone:4B当地的标准时间;全零

    SigFigs:4B时间戳的精度;全零

    SnapLen:4B最大的存储长度

    LinkType:4B链路类型

    常用类型:

    0BSD loopback devices, except for later OpenBSD

    1            Ethernet, and Linux loopback devices

    6            802.5 Token Ring

    7            ARCnet

    8            SLIP

    9            PPP

    10           FDDI

    100         LLC/SNAP-encapsulated ATM

    101         "raw IP", with no link

    102         BSD/OS SLIP

    103         BSD/OS PPP

    104         Cisco HDLC

    105         802.11

    108         later OpenBSD loopback devices (with the AF_value in network byte order)

    113         special Linux "cooked" capture

    114         LocalTalk

    2125551_2.gif

    Packet包头和Packet数据组成

    字段说明:

    Timestamp:时间戳高位,精确到seconds

    Timestamp:时间戳低位,精确到microseconds

    Caplen:当前数据区的长度,即抓取到的数据帧长度,由此可以得到下一个数据帧的位置。

    Len:离线数据长度:网络中实际数据帧的长度,一般不大于caplen,多数情况下和Caplen数值相等。

    Packet数据:即Packet(通常就是链路层的数据帧)具体内容,长度就是Caplen,这个长度的后面,就是当前PCAP文件中存放的下一个Packet数据包,也就是说:PCAP文件里面并没有规定捕获的Packet数据包之间有什么间隔字符串,下一组数据在文件中的起始位置。我们需要靠第一个Packet包确定。最后,Packet数据部分的格式其实就是标准的网路协议格式了可以任何网络教材上找得到。

    展开全文
  • 优雅地将多个pcap文件合并在一起。 安装 从下载预编译的二进制文件 或者...使用go get : go get -u github.com/assafmo/joincap 或使用Ubuntu PPA: curl -SsL https://assafmo.github.io/ppa/ubuntu/KEY.gpg | ...
  • 需要三个空白文件夹,一个存放数据包,一个存放解析时的json文件,还有一个存放最终的csv文件,并且最终制成数据集的形式
  • pcap文件解析

    2020-12-30 09:28:06
    {"moduleinfo":{"card_count":[{"count_phone":1,"count":1}],"search_count":[{"count_phone":4,"count":4}]},"card":[{"des":"阿里云文件存储NAS是一个可共享访问,弹性扩展,高可靠,高性能的分布式文件系统。...
  • #!/bin/bash function tcpdump_show(){ for file in `ls $1` do if [ -d $1"/"$file ] then continue ... if [ $file == "test.sh" ] #脚本名称为test.sh 与pcap放于同一目录 then continue else .
  • joincap:优雅地将多个pcap文件合并在一起
  • 捕获 = pcap2matlab(过滤器,decodeas_and_dissector,filename_or_interface,capture_stop_criteria) 允许执行直接网络实时捕获以及从 MATLAB 读取的 *.pcap 文件工作区。 输出变量是一个 MATLAB 结构体,每个...
  • 导读如果你是一个测试入侵侦测系统或一些网络访问控制策略的网络管理员,...如果 pcap 文件被用于入侵测试或离线分析的话,那么在将他们注入网络之前通常要先对 pcap 文件进行一些操作。在这篇文章中,我将介绍一些...
  • pcap文件的rtp包中提取264码流并保存,用udp传输的rtp包,解析了pcap文件,并且发布同名博客介绍这个小程序,主要介绍rtp包数据的提取,需要用自己的pcap文件和src端口号运行程序,记得修改
  • Python按连接拆分pcap文件,将文件拆成一个一个的小包(按照连接)
  • 一个简单的 pcap 编写器,可帮助您从 Node JS 中捕获的数据包数据创建 pcap 文件。 背景 Node JS 中有可用于 pcap 的读取器和解析器包,但没有可用于编写器的包,因此决定编写可以帮助他人的 onde。 例子 初始化: ...
  • pcap文件头用python代码表达结构如下,I是32位无符号数,下面的定义均采用32位方式# bpf_u_int32 magic; 固定为0xA1B2C3D4,表示pcap包文件# u_short version_major; 主版本号# u_short version_minor; 分支版本号# ...
  • Pcap文件详解

    千次阅读 2021-03-17 14:27:51
    普通的记事本打开pcap文件显示的是乱码,用安装了HEX-Editor插件的Notepad++打开,能够以16进制数据的格式显示,或者使用sublime打开以十六进制的格式显示。用wireshark这种抓包工具就可以正常打开这种文件,愉快地...
  • pcap文件格式及写pcap文件

    千次阅读 2019-05-13 10:10:09
    一、pcap文件格式(该部分引用网络资料) pcap文件格式及文件解析 第一部分:PCAP包文件格式 (一)、基本格式: 文件头 数据包头 数据报 数据包头 数据报… (二)、文件头: 文件头结构体,libpcap源码中定义如下 ...
  • 通过libpcap的库也能简单地进行离线分析pcap_t *pcap_open_offline(const char *fname, char *errbuf)函数打开保存的数据包文件,用于读取,返回文件描述符fname参数指定了pcap文件名errbuf依旧是函数出错的时候返回...
  • 概述 ... 假设一个问题 - 你想显示用户的网页浏览,存储在 pcap 文件中。... 另外你可以给proxy常用的字体,css,javascript,浏览器经常缓存,所以它可能会响应数据,由于缓存而不存储在pcap文件中。
  • 官方源码 来源于github,解析tcp ,udp等数据包

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 14,820
精华内容 5,928
关键字:

pcap文件怎么打开