PCAP 文件格式 每个.pcap 文件的文件头Pcap Header:24B 每个.pcap 文件中的数据包头 Packet Header:16B 每个.pcap 文件中的数据报 Packet Data:14B 以太头+TCP/IP 数据 具体如下: 1.pcap 文件头部(pcap header) sturct pcap_file_header { DWORD magic; WORD version_major; WORD version_minor; DWORD thiszone; DWORD sigfigs; DWORD snaplen; DWORD linktype; } 说明: 1、标识位 magic:32 位的,这个标识位的值是 16 进制的 0xa1b2c3d4 。 32-bit magic number , The magic number has the value hex a1b2c3d4. 2、主版本号 version_major:16 位, 默认值为 0x2。返回写入被打开文件所使用的 pcap 函数的主版本号。 16-bit major version number, The major version number should have the value 2. 3、副版本号 version_minor:16 位,默认值为 0x04。 16-bit minor version number, The minor version number should have the value 4. 4、区域时间 thiszone:32 位,实际上该值并未使用,因此可以将该位设置为 0。 32-bit time zone offset field that actually not used, so you can (and probably should) just make it 0; 5、精确时间戳 sigfigs:32 位,实际上该值并未使用,因此可以将该值设置为 0。 32-bit time stamp accuracy field that not actually used, so you can (and probably should) just make it 0; 6、数据包最大长度 snaplen:32 位,该值设置所抓获的数据包的最大长度,如果所有数据包都要抓获,将该值设置为 65535; 例如:想获取数据包的前 64 字节,可将该值设置为 64。 32-bit snapshot length" field; The snapshot length field should be the maximum number of bytes perpacket that will be captured. If the entire packet is captured, make it 65535; if you only capture, for example, the first 64 bytes of the packet, make it 64. 7、链路层类型 linktype:32 位, 数据包的链路层包头决定了链路层的类型。 32-bit link layer type field. The link-layer type depends on the type of link-layer header that the packets in the capture file have: ...
