pcap文件格式VIP专享VIP免费

PCAP 文件格式 每个.pcap 文件的文件头Pcap Header：24B 每个.pcap 文件中的数据包头 Packet Header：16B 每个.pcap 文件中的数据报 Packet Data：14B 以太头+TCP/IP 数据 具体如下： 1．pcap 文件头部(pcap header) sturct pcap_file_header { DWORD magic; WORD version_major; WORD version_minor; DWORD thiszone; DWORD sigfigs; DWORD snaplen; DWORD linktype; } 说明： 1、标识位 magic：32 位的，这个标识位的值是 16 进制的 0xa1b2c3d4 。 32-bit magic number , The magic number has the value hex a1b2c3d4. 2、主版本号 version_major：16 位， 默认值为 0x2。返回写入被打开文件所使用的 pcap 函数的主版本号。 16-bit major version number, The major version number should have the value 2. 3、副版本号 version_minor：16 位，默认值为 0x04。 16-bit minor version number, The minor version number should have the value 4. 4、区域时间 thiszone：32 位，实际上该值并未使用，因此可以将该位设置为 0。 32-bit time zone offset field that actually not used, so you can (and probably should) just make it 0; 5、精确时间戳 sigfigs：32 位，实际上该值并未使用，因此可以将该值设置为 0。 32-bit time stamp accuracy field that not actually used, so you can (and probably should) just make it 0; 6、数据包最大长度 snaplen：32 位，该值设置所抓获的数据包的最大长度，如果所有数据包都要抓获，将该值设置为 65535； 例如：想获取数据包的前 64 字节，可将该值设置为 64。 32-bit snapshot length" field; The snapshot length field should be the maximum number of bytes perpacket that will be captured. If the entire packet is captured, make it 65535; if you only capture, for example, the first 64 bytes of the packet, make it 64. 7、链路层类型 linktype：32 位， 数据包的链路层包头决定了链路层的类型。 32-bit link layer type field. The link-layer type depends on the type of link-layer header that the packets in the capture file have: ...