pcap文件结构
| 文件头 |
|---|
| 数据包头 |
| 数据包内容 |
| 数据包头 |
| 数据包内容 |
| …… |
| 数据包头 |
| 数据包内容 |
一个Pcap文件中存在1个Pcap文件头和多个数据包,其中每个数据包都有自己的头和包内容。
pcap文件头
文件头结构
|字节数|4 bytes|2 bytes|2 bytes|4 bytes|4 bytes|4 bytes|4 bytes| |——|——-|——-|——-|——-|——-|——-|——-| |pcap文件头|magic,文件识别头,pcap固定为:0xA1B2C3D4|magor version, 主版本号|minor version, 次版本号|timezone, 当地标准时间|sigflags, 时间戳精度|snaplen, 最大存储长度|linktype, 链路类型|
常用链路类型
类型编号|类型说明 ——-|——– 0|BSD loopback devices, except for later OpenBSD 1|Ethernet, and Linux loopback devices 6|802.5 Token Ring 7|ARCnet 8|SLIP 9|PPP 10 |FDDI 100|LLC/SNAP-encapsulated ATM 101|“raw IP”, with no link 102|BSD/OS SLIP 103|BSD/OS PPP 104|Cisco HDLC 105|802.11 108|later OpenBSD loopback devices (with the AF_value in network byte order) 113|special Linux “cooked” capture 114|LocalTalk
数据包头
| 字节数 | 4 bytes | 4 bytes | 4 bytes | 4 bytes |
|---|---|---|---|---|
| 数据包头 | 时间戳(秒) | 时间戳(微妙) | 抓包长度 | 实际长度 |