一、pcapng概览
pcapNG格式(Libpcap Next Generation Dump File Format)是新一代抓包文件格式,它支持更多种类的抓包设备和文件的元数据。pcapNG格式于2009年推出,并逐渐受到网络安全行业的广泛关注和使用。
每一个pcapng文件都可以包含多个块(block),每个块可以包含多个子块(sub-block)。每个块和子块都有头部和数据部分组成。
二、pcapng文件头
每个pcapng文件都有一个文件头,描述整个文件的属性和特征。文件头由一个“section header block”组成,它包含了版本号、操作系统、捕获软件、硬件等信息,还可以指定每个块的字节序。
三、数据块
pcapng文件是由很多不同的块组成,每个块都有一个头部和数据。
最常用的块是“interface block”,它包含一个网络接口的描述信息。比如MAC地址、IP地址、类型等。
四、扩展数据块
pcapng格式支持用户自定义块,这些块被称为扩展数据块(enhanced packet block)。扩展数据块可以存储模拟数据,或者在实际数据流中插入自定义数据。扩展数据块的存在可以大大增加pcapng格式的灵活性和扩展性。
五、文件实例
以一个简单的HTTP消息为例,来说明pcapng格式的结构。下面是一个示例HTTP请求的抓包结果:
上述抓包文件结合HTTP协议的规范解释:
<b>前8字节:</b>表示数据包的时间戳(Thu Nov 23 19:14:53.),的双精度位表示,收集到的时间戳,秒数的高位在最高位,后64位表示精确到微秒。 <b>接下来4字节:</b> 表示数据包的长度(0x00000098),即实际收到的大小,可以少于原始分组大小,或者被截断。* <b>接下来的数据:</b>是捕获的数据本身,它被限制到抓取大小(0x000000c0),这是启动Wireshark时为抓取设置的最大捕获大小。 讯享网
我们可以将上述数据转换成pcapng格式:
00000000: 0a 0d 0d 0a 04 00 00 00 05 00 00 00 ff ff 00 00 ……………. 00000010: 53 62 3a 66 00 00 00 00 01 00 00 00 c0 00 00 00 Sb:f………… 00000020: 98 00 00 00 f2 b1 e5 8c 41 67 6c 55 11 bd c9 e9 ……..AglU…. 00000030: cf ae 0b 3c 08 00 45 00 00 c0 1b 3a 40 00 40 06 …<..E….:@.@. 00000040: cb a8 c0 a8 01 01 81 62 53 ea 00 50 b9 63 b9 9b ……bS..P.c.. 00000050: c3 2c 1b c1 50 18 fa f0 2d 8c 47 45 54 20 2f 20 .,..P…-.GET / 00000060: 48 54 54 50 2f 31 2e 31 0d 0a 48 6f 73 74 3a 20 HTTP/1.1..Host: 00000070: 6c 6f 63 61 6c 68 6f 73 74 0d 0a 55 73 65 72 2d localhost..User- 00000080: 41 67 65 6e 74 3a 20 4d 6f 7a 69 6c 6c 61 2f 35 Agent: Mozilla/5 00000090: 2e 30 20 28 57 69 6e 64 6f 77 73 20 4e 54 20 31 .0 (Windows NT 1 000000a0: 30 2e 30 3b 20 57 69 6
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容,请联系我们,一经查实,本站将立刻删除。
如需转载请保留出处:https://51itzy.com/kjqy/183620.html