使用wireshark抓包工具,默认存取为pcap文件, Pcap文件头24B各字段说明: Magic:4B:0x1A 2B 3C 4D:用来标示文件的开始 Major:2B,0x02 00:当前文件主要的版本号 Minor:2B,0x04 00当前文件次要的版本号 ThisZone:4B当地的标准时间;全零 SigFigs:4B时间戳的精度;全零 SnapLen:4B最大的存储长度 LinkType:4B链路类型 0 BSD loopback devices, except for later OpenBSD 其中我们最为常见的类型就是1,以太网链路。 字段说明: 图中最开始的绿色部分就是24 Bytes的Pcap Header,接下来红色的16 Bytes是第一个消息的Packet Header, 后面的红色的16 Bytes是第二个消息的Packet Header。两块蓝色的部分分别是两个消息从链路层开始的完整内容。在网络上实际传输的数据包在数据链路层上每一个Packet开始都会有7个用于同步的字节(10101010, 10101010, 10101010, 10101010, 10101010, 10101010, 10101010,)和一个用于标识该Packet开始的字节(10101011),最后还会有四个CRC校验字节;而PCAP文件中会把前8个字节和最后4个校验自己去掉,因为这些信息对于协议分析是没有用处的。 综述:pcap文件头:数据链路层14字节包头+20字节ip包头+20字节tcp包头或者udp; 目的MAC(6B)+源MAC(6B)+type(2B,0800,ip)+协议版本及头长度(0x45,1B)+区分服务(1B) +总长度(2B)+唯一标示(2B)+标志与偏移量(2B)+TTL(1B)+协议(1B,TCP|UDP)+校验和(2B) +源ip地址(4B)+目的ip地址(4B)+源端口(2B)+目的端口(2B)+序列号(4B)+确认号(4B)+头长度(1B)+ack标志(1b)+窗口大小(2B)+校验和(2B)+紧急数据偏移量(2B) |
|
来自: samozhishui > 《待分类1》