Archive for September, 2015

2015/09/22

pcap 文件通常用 wireshark 工具打开。 wireshark 在抓取和分析网络数据包的时候非常有用,不得不说它是一个很强大的工具。用wireshark 打开pcap文件后,所有的信息一目了然,但是作为一个(伪)geek ,还是需要有一点刨根问底的精神的,总想自己手动解析一次,那么这次就来玩转一下 pcap 文件。 首先看一下 pcap 的文件格式,出乎意料的是pcap的格式非常简单。     Pcap Header 是整个文件的头部,存放了关于这个pcap的一些信息。之后每个被捕获的数据包用一个(Head, Data)表示,Head里是关于这个数据包的捕获时间等信息,后面的Data就是这个数据包了。Data包含了MAC帧之上的所有内容。

2,562 views