cap文件格式分析.pdf

分别使用Sniffer软件和Utraedit软件打开一个cap文件

注意：这里分析的network.cap文件不是sniffer软件抓包产生的cap文件，是其

他软件抓包的文件，sniffer抓包的cap文件与此相差很大，从最开始的4个字节

便可以看出。提供的文件格式分析如下。

对比发现：开始的24个字节是文件头部分，接下来是抓获到的数据包部分，包

括16个字节的数据头和68个字节的数据内容，数据部分重复出现。

数据内容从DLC(数据链路控制层)头开始，然后Ip报头，传输层报头

(TCP\UDP\ICMP\IGMP)，最后是传输层数据部分

这里每个数据包长度是68个字节。

24个字节的文件头部分：

说明：

1、标识位magic：32位的，这个标识位的值是16进制的0xa1b2c3d4。

2、主版本号version_major：16位，默认值为0x2。返回写入被打开文件所

使用的pcap函数的主版本号。

3、副版本号version_minor：16位，默认值为0x04。

4、区域时间thiszone：32位，实际上该值并未使用，因此可以将该位设置为

0。

5、精确时间戳sigfigs：32位，实际上该值并未使用，因此可以将该值设置为

0。

6、数据包最大长度snaplen：32位，该值设置所抓获的数据包的最大长度，

如果所有数据包都要抓获，将该值设置为65535；例如：想获取数据包的前64

字节，可将该值设置为64。这里是0x44，表示数据包的前68字节。

7、链路层类linktype：32位，数据包的链路层包头决定了链路层的类型。

这里是0x01，表示链路层是以太网类型。

以下是数据值与链路层类型的对应表

0BSDloopbackdevices,exceptforlaterOpenBSD

1Ethernet,andLinuxloopbackdevices以太网类型，大多数的数据

包为这种类

型。

6802.5TokenRing

7ARCnet

8SLIP

9PPP

10FDDI

100LLC/SNAP-encapsulatedATM

101rawIP,withnolink

102BSD/OSSLIP

103BSD/OSPPP

104CiscoHDLC

105802.11

108laterOpenBSDloopbackdevices(withtheAF_valuein

networkbyteorder)

113specialLinuxcookedcapture

114LocalTalk

下面只对第一个数据包分析，后面的数据包格式类似。

16字节的数据包头结构

说明：

数据包头内容依次是时间戳、当前数据包的长度和实际数据包的长度。

(1)时间戳，包括：

秒计时：32位，一个UNIX格式的精确到秒时间值，用来记录数据包抓获的时间，

记录方式是记录从格林尼治时间的1970年1月1日00:00:00到抓包时经过

的秒数。这里是0x51B2F9EE，经粗略计算可以得到当前年份是2013年，对应

的月日分秒没有去详细计算。

毫秒计时：32位，抓取数据包时的毫秒值。这里是0

(2)数据包长度：32位，标识所抓获的数据包保存在pcap文件中的实际长度，

以字节为单位。这里是0x44，即有68个字节，与文件头中规定的一致。

(3)数据包实际长度：所抓获的数据包的真实长度，如果文件中保存不是完整的

数据包，那么这个值可能要比前面的数据包长度的值大。这里是0x0214，表示

有532个字节。

可以肯定，每个数据包的数据包头内容都不会相同，有些部分内容是相近的。

数据包内容

通常就是链路层的数据帧，长度就是Caplen，这个长度的后面，就是当前

PCAP文件中存放的下一个Packet数据包，也就是说