0
我很可能在这里丢失了一些东西,但PCAP specification未显示发件人IP地址和PORT捕获的数据包。如何从PCAP文件中的数据包获取发件人IP地址?
有没有一种方法可以知道谁在PCAP文件中发送了数据包?
http://wiki.wireshark.org/Development/LibpcapFileFormat
A
回答
1
按照EJP的说法,您将不得不自己解析数据包数据。请参阅the tcpdump.org link-layer header type page以获取文件头中network字段值的列表以及分组数据开头处的标头对应格式。
您需要查看这些标头以确定该数据包是否为IP数据包;如果是,则需要解析IPv4或IPv6标头(取决于标头是指示它是IPv4还是IPv6数据包,或者标头中的“版本”字段是4还是6)版本“字段出现在IPv4和IPv6标头中的相同位置;对于LINKTYPE_RAW,您必须查看”版本“字段,因为IPv4或IPv6标头前没有标头)来查找源IP地址。有关IPv4标头的形式,请参阅RFC 791;请参阅RFC 2460了解IPv6报头的格式。
如果您想要端口号,您将需要检查IPv4标头的“协议”字段,或者检查IPv6标头和句柄扩展标头的“下一个标头”字段,以确定哪个协议正在进行IP的顶部。有关该字段的值,请参阅IANA Protocol Numbers registry; TCP为6,UDP为17.如果协议为TCP,请参阅RFC 793以获取TCP报头的格式;如果协议是UDP,请参阅RFC 768以获取UDP标头的格式。或者您可能想要使用现有的数据包解析库,例如用于C或C++的libtrace或用于其他语言的其他库(我认为它们可能存在于Perl,Python,C#和Java中),例如这可以让你避免做很多上述事情。 (对于这个问题,你不需要看pcap格式规范;你应该使用libpcap/WinPcap读取pcap文件,因为这也意味着你的程序可能能够读取一些pcap- ng文件,如果它使用的是足够新的libpcap版本。)
1
包的起源是在IP数据包本身。所以它也不需要在PCap头文件中。
相关问题
- 1. 从scapy获取PCAP文件的IP地址
- 2. 如何在春季集成中获取发件人IP地址?
- 3. QUdpSocket。如何获取发件人的IP地址?
- 4. 从发件人获取IP
- 5. 如何从python数据包中获取IP地址?
- 6. Twitter API:如何获取发件人IP地址?
- 7. 获取UDP数据包的IP地址
- 8. 从组播数据包获取发件人IP
- 9. 如何从Zend_Mail_Message获取发件人的电子邮件地址?
- 10. 如何从Outlook获取发件人的电子邮件地址?
- 11. Microsoft Outlook中发件人的IP地址
- 12. 如何在java中获取UDP数据包发送方的本地ip地址
- 13. 从gmail的联系人或收件箱中获取ip地址
- 14. 如何从日志文件中获取IP地址?
- 15. 使用重叠的IO获取发件人的IP地址
- 16. 从文件中获取IP地址并计算出现次数
- 17. socat:让发件人的IP地址
- 18. 从pcap目录中获取最常见的ip到csv文件
- 19. Regrex从邮件头获取IP地址
- 20. 如何获取本地HTML文件提交数据的IP地址
- 21. 如何读取C++中的pcap文件以获取数据包信息?
- 22. 将IP数据包从一个IP地址转发到另一个IP地址
- 23. 使用pcap获取linux中的接口的ip地址
- 24. 如何获取发件人的电子邮件地址
- 25. 修改ip地址袜子捕获pcap
- 26. 如何从特定的IP地址读取数据包?
- 27. 可以从Socket的recvfrom函数中提取发件人的IP地址吗?
- 28. 如何获取所需广播地址的发件人IP:端口组合?
- 29. 如何使用Perl从文本文件中提取IP地址?
- 30. 多个IP地址,挑选发件人