我在研究pcapng文件格式,知道wireshark读取pcapng文件的时候,会告诉你各种信息。我一直在阅读pcap-ng 格式,但在 pcapng 文件中看不到任何实际列出了任何 IP 地址的地方。
我还没有完全理解文件格式,但我确实从文档中了解到它有 6 个块。
- 节标题
- 接口说明
- 增强包
- 简单数据包
- 名称解析
- 接口统计
我不理解这个难题的哪一部分?
源/目标 IP 地址信息在 PCAP-NG 中的什么位置?
网络工程
tcp
线鲨
UDP
tcpdump
pcap
2022-02-12 16:03:08
1个回答
pcap-ng 格式只是描述了封装捕获数据包的容器格式。它没有描述捕获的数据包的内容。因此,如果您捕获了 IP 数据包,则需要参考 IP 规范来获取源 IP 地址和目标 IP 地址。如果捕获的数据还包括以太网帧,则必须先将其删除,然后才能进入 IP 部分。如果您想访问 TCP 端口,您必须了解 TCP 标头格式,以便找到端口号在 IP 数据包内的 TCP 标头中的位置等。这些都不是 pcap 或 pcap-ng 的一部分。
其它你可能感兴趣的问题