Linux下tcpdump和Wireshark抓包的数据结构
2016-01-29 17:37
211 查看
抓取n个数据包,pcap文件组成:
->24B文件头|->数据包1
|->数据包2
…
|->数据包n
->数据包i|->数据包头
|->数据段
1,文件头-24B
4B-一般为:D4 C3 B2 A1(hex),表示主机号等信息
4B-一般为:02 00 04 00(hex),版本号
8B-一般全零
4B-snaplen,抓包时抓取的数据长度
4B-网络类型
2,数据包i
2.1 数据包头-16 B
8B-时间戳 |->4B-数据包抓获时间戳
|->4B-数据包抓获的微秒值
4B-抓获的包长度lens
4B-数据包的实际长度
2.2 数据段-lens B
2.2.1 以太网头部信息-14B
6B-目标MAC地址
6B-源MAC地址
2B-类型,如IP即为0x0080,才会出现如下的IPV4/6。其他如ARP则为0x0806
2.2.2 IPV4/6头部信息-20B
1B-头部长度,固定为20B
1B-Differentiated Services Field,一般是0x00
2B-数据总长度total=lens-14B
2B-ID
2B-数据段位移
1B-生存时间
1B-协议:tcp=0x06,udp = 0x11及其他
2B-头部checksum校验和
4B-源IP地址
4B-目的IP地址
2.2.3 TCP-20B/UDP-8B
如果是TCP:
2B-源端口号
2B-目的端口号
4B-队列号
4B-确认号
2B-flags
2B-窗户大小
2B-checksum校验和
2B-urgent
长度是total-40,表示接下来数据段Byte数
如果是UDP:
2.2.4 HTTP/OICQ
如果 2.2.3是TCP,则2.2.4是HTTP:
->24B文件头|->数据包1
|->数据包2
…
|->数据包n
->数据包i|->数据包头
|->数据段
1,文件头-24B
4B-一般为:D4 C3 B2 A1(hex),表示主机号等信息
4B-一般为:02 00 04 00(hex),版本号
8B-一般全零
4B-snaplen,抓包时抓取的数据长度
4B-网络类型
2,数据包i
2.1 数据包头-16 B
8B-时间戳 |->4B-数据包抓获时间戳
|->4B-数据包抓获的微秒值
4B-抓获的包长度lens
4B-数据包的实际长度
2.2 数据段-lens B
2.2.1 以太网头部信息-14B
6B-目标MAC地址
6B-源MAC地址
2B-类型,如IP即为0x0080,才会出现如下的IPV4/6。其他如ARP则为0x0806
2.2.2 IPV4/6头部信息-20B
1B-头部长度,固定为20B
1B-Differentiated Services Field,一般是0x00
2B-数据总长度total=lens-14B
2B-ID
2B-数据段位移
1B-生存时间
1B-协议:tcp=0x06,udp = 0x11及其他
2B-头部checksum校验和
4B-源IP地址
4B-目的IP地址
2.2.3 TCP-20B/UDP-8B
如果是TCP:
2B-源端口号
2B-目的端口号
4B-队列号
4B-确认号
2B-flags
2B-窗户大小
2B-checksum校验和
2B-urgent
长度是total-40,表示接下来数据段Byte数
如果是UDP:
2.2.4 HTTP/OICQ
如果 2.2.3是TCP,则2.2.4是HTTP:
相关文章推荐
- 如何安装并使用 Wireshark
- wireshark抓取本地回环数据包和取出数据的方法
- Android中使用tcpdump、wireshark进行抓包并分析技术介绍
- 超簡單看看 wireshark 協議樹狀視窗
- 簡單範例 mergecap,wireshark 付屬程式
- 簡單範例 text2pcap,wireshark 付屬程式
- wireshark过滤使用
- wireshark过滤语法总结
- 用Wireshark从http数据包中得到用户的登录信息
- 使用wireshark观察SSL/TLS握手过程--双向认证/单向认证
- 使用wireshark分析网络流量实例
- Wireshark抓包工具使用教程以及常用抓包规则
- wireshark
- Wireshark抓包工具使用教程以及常用抓包规则
- Wireshark 检索命令
- Wireshark图解教程--介绍界面、
- Wireshark 过滤器语法总结
- wireshark 实用过滤表达式(针对ip、协议、端口、长度和内容)
- npf拒绝访问的问题
- wireshark报The capture session could not be initiated 错误