欢迎来到淘文阁 - 分享文档赚钱的网站! | 帮助中心 好文档才是您的得力助手!
淘文阁 - 分享文档赚钱的网站
全部分类
  • 研究报告>
  • 管理文献>
  • 标准材料>
  • 技术资料>
  • 教育专区>
  • 应用文书>
  • 生活休闲>
  • 考试试题>
  • pptx模板>
  • 工商注册>
  • 期刊短文>
  • 图片设计>
  • ImageVerifierCode 换一换

    2022年cap文件类型的数据包结构分析 .pdf

    • 资源ID:34264767       资源大小:31.93KB        全文页数:3页
    • 资源格式: PDF        下载积分:4.3金币
    快捷下载 游客一键下载
    会员登录下载
    微信登录下载
    三方登录下载: 微信开放平台登录   QQ登录  
    二维码
    微信扫一扫登录
    下载资源需要4.3金币
    邮箱/手机:
    温馨提示:
    快捷下载时,用户名和密码都是您填写的邮箱或者手机号,方便查询和重复下载(系统自动生成)。
    如填写123,账号就是123,密码也是123。
    支付方式: 支付宝    微信支付   
    验证码:   换一换

     
    账号:
    密码:
    验证码:   换一换
      忘记密码?
        
    友情提示
    2、PDF文件下载后,可能会被浏览器默认打开,此种情况可以点击浏览器菜单,保存网页到桌面,就可以正常下载了。
    3、本站不支持迅雷下载,请使用电脑自带的IE浏览器,或者360浏览器、谷歌浏览器下载即可。
    4、本站资源下载后的文档和图纸-无水印,预览文档经过压缩,下载后原文更清晰。
    5、试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓。

    2022年cap文件类型的数据包结构分析 .pdf

    cap文件类型的数据包结构分析CAP文件是比较通用的一种文件格式,基本上大多数抓包软件都支持以此格式将捕获的网络数据包存储下来。需要说明的是,CAP文件存储下来的,一般都是网络数据帧。不同网络传输协议下的帧格式是有差异的, 所以这里以以太网帧作讨论。我所分析的CAP包是由 ethereal抓取的。tcpdump和 windump抓的包格式基本一致。CAP文件是全十六进制数据文件而不是文本文件,所以其结构需要分析,由于我并不打算做专门的分析软件,所以我只作对我来说有意义的一些数据的分析。CAP里面的数据有些地方是和我们常规数据的顺序一样的,有些位置是标准的高位取反,根据该位置表示的数据类型确定。CAP文件的前24 个 16 进制位是头文件相关的信息我们不用关心,随后紧跟的八个位(后面所有的位都指两个16 进制数构成的一个十六进制位,如AC ,B8就是两个16 进制位) ,是抓包的时间戳标记,里面应该包括了年月日和具体到毫秒级别的时间,前 4位高低位的互换再乘1000 可得到当前的时间精确到秒,后4 位是微妙,算法同前面。随后的 8 个位是比较重要的,其中前 4 个是我们抓取到的数据帧长度,同时也关系到我们如何在 CAP文件中得到下一组数据帧位置。这四个位每个的前两位高位取反后表示数据帧的长度,第一组是软件抓取到的数据帧长度,后面一组是网络中实际数据帧的长度。一般来说第一组小于等于第二组数据。这八个位结束后,就是帧的具体内容,长度就是前面的第一组数,这个长度的后面,就是CAP存的下一组帧数据,也就是说,CAP文件里面并没有规定捕获的帧数据之间有什么间隔字符串,我们需要靠第一组数确定,下一组数据在文件中的起始位置。下面的内容其实应该算是TCP/IP 书里的标准内容,不过我还是继续写吧。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 1 页,共 3 页 - - - - - - - - - 我们接着讲后面负载的内容,6 位的目标MAC 地址, 6 位的源 MAC 地址,然后二位是三层协议类型,一般来说,我们关心的可能只有0800 这代表 IP,随后一位是IP 协议的版本号,45 表示的是V4版本,后一位是差分服务表示位,然后两位是IP 包长度,这一长度包括了IP 包头,随后两位是鉴别代码,随后的标志第一个是数据分段标志,表示是否对数据进行分拆,00 表示没有设置, 40 表示设置为不拆分。随后一位是拆分偏移量, 对于没有拆分的数据没有意义就是00。随后一位有名的time to live值,不用多说,随后一位是四层协议类型,TCP就是 06,UDP是 11,随后两位是头校验码,知道的人都懂。随后四位就是我们的源IP 地址,接着四位是目标IP 地址,这8 位也是属于IP 包头的。随后两位是源端口,接着两位是目的端口(不管是TCP 还是 UDP )下面要区分的说,如果是TCP的话,随后的两个四位数据分别是会话序号和回应序号,如果回应序号为0,很多时候意味着这是一个 SYN ,不过 SYN专门有标志。接下来一位是TCP包头长度。这个长度由源端口开始算。再接下来一位就是应答标志位,如果是02 表示是 SYN ,如果是12 则表示是 SYN , ACK ,如果是10 则表示是 ACK 。然后的两位是WINDOW SIZE ,然后两位是TCP包头的校验。再接下来就是TCP包的负载内容了,这根据上层应用来说就更为复杂,这里不详细讨论。接着说,如果是UDP包,端口号过了直接就是包负载长度两位长和UDP包头校验码两位长,然后就是UDP包负载的内容了。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 2 页,共 3 页 - - - - - - - - - 本文出自“ 程序小酌 ” 博客,请务必保留此出处http:/ - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 3 页,共 3 页 - - - - - - - - -

    注意事项

    本文(2022年cap文件类型的数据包结构分析 .pdf)为本站会员(Che****ry)主动上传,淘文阁 - 分享文档赚钱的网站仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知淘文阁 - 分享文档赚钱的网站(点击联系客服),我们立即给予删除!

    温馨提示:如果因为网速或其他原因下载失败请重新下载,重复下载不扣分。




    关于淘文阁 - 版权申诉 - 用户使用规则 - 积分规则 - 联系我们

    本站为文档C TO C交易模式,本站只提供存储空间、用户上传的文档直接被用户下载,本站只是中间服务平台,本站所有文档下载所得的收益归上传人(含作者)所有。本站仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。若文档所含内容侵犯了您的版权或隐私,请立即通知淘文阁网,我们立即给予删除!客服QQ:136780468 微信:18945177775 电话:18904686070

    工信部备案号:黑ICP备15003705号 © 2020-2023 www.taowenge.com 淘文阁 

    收起
    展开