pcap的数据包头的两个长度有什么不同?
在pcap文件中,数据包头有两个字段表示长度:Packet Length和Capture Length。
- Packet Length(数据包长度):表示整个数据包的长度,包括数据包头和数据部分。它是一个32位的无符号整数,通常使用网络字节顺序(big-endian)进行表示。Packet Length字段记录的是实际在网络上传输的数据包的总长度。
- Capture Length(抓包长度):表示抓包程序实际捕获的数据包的长度。它是一个32位的无符号整数,通常使用网络字节顺序进行表示。Capture Length字段记录的是抓包程序实际截取的数据包长度,可能会小于数据包的实际长度。这是因为在抓包过程中,为了减少内存开销和提高性能,抓包程序通常只保存部分数据包内容。
这两个长度的不同主要是为了在分析和存储网络数据包时,能够灵活地控制存储空间的使用。Packet Length用于确定数据包的实际大小,而Capture Length则用于表示捕获的数据包中有用的部分。
在实际应用中,可以根据需求选择使用Packet Length还是Capture Length。如果需要完整保存网络数据包以进行后续的分析或重放,可以使用Packet Length。而如果只需要捕获网络数据包中的特定部分,例如IP头或某个特定协议的内容,可以使用Capture Length来减少存储空间的占用。
腾讯云相关产品推荐:
- 腾讯云云服务器(CVM):提供高性能的云服务器,用于部署和运行各种应用。
- 腾讯云云数据库 MySQL 版:可靠、可扩展的关系型数据库服务。
- 腾讯云对象存储(COS):安全、低成本、高可靠的云存储服务,适用于存储和访问各种类型的数据。
更多产品介绍和详细信息,请访问腾讯云官方网站:https://cloud.tencent.com/
相关·内容
下面是pcap中数据包头的结构: struct pcap_pkthdr {
struct timeval ts; /* time stamp */
bpf_u_int32 caplen; /* length of portion present */
bpf_u_int32 len; /* length this packet (off wire)*/
}; 我想知道caplen和len之间的真正区别是什么?它们被用在哪里?
浏览 53提问于2019-10-07得票数 0
2回答
我在C++中使用libpcap从pcap文件中读取数据包,例如:
rc = pcap_next_ex((pcap_t*)handle, &header, (const unsigned char**)packet);
我想解析数据包头(没有有效负载)。
例如,如何解析给定的数据包以提取其源ip地址和目的ip地址?
谢谢
浏览 3提问于2011-05-24得票数 5
我正试图在c/++中将const u_char*深拷贝到另一个const u_char*。
我有以下密码-
void packetHandler(u_char *userData, const struct pcap_pkthdr* pkthdr, const u_char* packet)
{
if(packet!=NULL)
{
int length = strlen((char*)packet);
const u_char* newPacket = new u_char[length];
memcpy((u_char*)n
浏览 2提问于2015-12-29得票数 0
回答已采纳
1回答
有人能解释一下pcap包头是如何在C中使用的吗?对于它的结构和使用方式,我找不到任何明确的解释。
事实上,问题是我不明白我们如何使用pcap #include <pcap.h>
事实上,我需要使用struct pcap_pkthdr *header,但我不知道如何使用它。
谢谢
浏览 1提问于2016-11-15得票数 2
免责声明:这是一个家庭作业,但问题不是关于作业,只是关于一般语法的怪异。
我正尝试在一个大得多的程序中使用libpcap,但是当我尝试获取每个包的包头和数据时,gcc抱怨说pcap_next_ex的第三个参数是不兼容的指针类型。下面是一些示例代码,用于了解我正在讨论的内容:
#include <stdio.h>
#include <stdlib.h>
#include <pcap.h>
int main()
{
pcap_t *pcap;
char pcapErr[PCAP_ERRBUF_SIZE];
struct pcap_pkt
浏览 9提问于2009-01-10得票数 0
回答已采纳
我正在尝试读取由不同工具创建的PCAP文件。
一个工具不进行字节对齐,另一个工具总是对齐下一个双单词。如何才能确定使用的是哪一种对齐方式?
如前所述:
每个捕获的数据包以(任何可能的字节对齐)开始..。
我不想使用libpcap,因为我的文件有时会被破坏,然后我需要处理基础文件的位和字节。
浏览 0提问于2015-11-24得票数 1
回答已采纳
2回答
我已经知道如何读取pcap并获得它所拥有的数据包。B我如何将数据包写入新的pcap?我需要这个把两个pcap合并成一个。
浏览 12提问于2015-06-11得票数 0
回答已采纳
我已经得到了这段代码,它可以很好地用libpcap编写一个pcap (仅使用用于测试的以太网协议):
struct ethernet {
u_char mac1[6];
u_char mac2[6];
u_short protocol;
};
int main() {
pcap_t *pd;
pcap_dumper_t *pdumper;
pd = pcap_open_dead(DLT_EN10MB, 65535);
pdumper = pcap_dump_open(pd, "test.pcap");
浏览 17提问于2015-11-04得票数 0
1回答
我有一个线程服务器,通常每个客户端都有一个线程,所以我收到的任何数据包都将来自同一个来源。
我正在设计一个基于
struct Packet
{
int Data;
char Data2 [size];
} Packet;
还有我可能需要的任何其他排列。
到目前为止,我能够区分数据包的唯一方法是基于数据包的大小。由于服务器和客户端都有相同的结构声明,服务器上的same (数据包)将与客户机上的大小(包)(假设硬件相同)相同,并且当我调用时
int bytesReceived = recv(...);
switch (bytesReceived) { (...) }
我可
浏览 0提问于2014-10-22得票数 0
我刚刚开始做一些网络编程。我正在使用pcap 来获取网络数据包。我的问题是,我可以从包的“有效负载”部分提取HTTP Get或Post请求吗?这是否意味着我需要从有效负载中读取单个字节来检测我是否具有特定的协议?
任何指南都是非常感谢的。
谢谢。
浏览 2提问于2011-02-02得票数 0
回答已采纳
我有一个由wireshark捕获的pcap,现在我需要读取其中的每一个包,并将它们写入结构向量。我在结构里写了一些麻烦。结构:
struct pktStruct {
struct pcap_pkthdr * pkt_header; // header object
const u_char * pkt_data; // data object
long time; // used to compare with each other
};
我如何保存每个数据包以构造如下代码:
string resultFile = "/home/xing/Desktop/tmp
浏览 0提问于2015-06-16得票数 0
回答已采纳
1回答
使用WinPcap 4.1.2,我需要收集给定接口上的所有基于IP的流量,然后为第7层处理过滤用户选择的基于TCP和UDP的“会话”。由于同时需要对每个传入帧进行唯一标记一次,因此我不能使用明显的解决方案,即让多个pcap_t设备对每个设备使用唯一的过滤器。相反,我使用单个pcap_t设备收集数据,标记每个帧,然后利用pcap_offline_filter应用程序接口在单独的线程中过滤每个选定的“会话”(即,X个会话将在X个不同的线程中过滤),以充分利用此应用程序将在其上运行的多核系统。
问题很简单。pcap_offline_filter应用编程接口是线程安全的吗?
浏览 3提问于2012-11-25得票数 1
回答已采纳
3回答
我正在尝试用C解析pcap文件,我不想使用libpcap。但出于某种原因,我不能。你知道我该怎么做吗?这是我的尝试:
fseek(f,24,0);
while(count<20)//reading 20 packets
{
fread(header,sizeof(struct pcap_pkthdr),1,f);
//after this I'm printing values header fields
fseek(f,ntohl(header->caplen),1);
count++;
}
输出与libpcap不同。
浏览 3提问于2012-02-14得票数 1
回答已采纳
1回答
我在winpcap上有以下两个TCP数据包:
或以pcap格式的
这两个数据包将被重新组装,但是它们的IP标志是"010",意思是“不要碎片”,片段偏移量是在0。它们确实有一个连续的标识号,但如果我正确理解,这本身并不足以定义一个零碎的数据包。
Wireshark 会对这些数据包进行重新组装,我真的不明白为什么。
我在这里错过了什么?Wireshark是如何重新组装这两个包的?
浏览 5提问于2013-10-01得票数 0
int pcap_dispatch(pcap_t *p, int cnt, pcap_handler callback, u_char *user)
我知道pcap_dispatch在收到包时调用回调例程,传递给回调例程的第一个参数是pcap_dipatch函数的最后一个参数。那么,回调例程的其余两个参数又如何呢?pcap_dispatch从哪里获取要传递的其他参数?
浏览 1提问于2012-02-12得票数 2
回答已采纳
这似乎是一个愚蠢的问题,但我找不到任何方法来判断数据包是否只被部分捕获。我可以在包结构中找到的所有数据长度都使用报头中的长度,甚至字节结构似乎都用垃圾填充数据。也就是说,如果我捕获一个768字节的包中的50个字节,那么在这个包中有768个字节的“数据”。
在解析数据包时,Wireshark源似乎需要一个异常,才能知道它只被部分捕获。我只读取头信息,所以我不会解析TCP头之外的任何东西。
我真正想做的是构建一个进度条,用于快照长度有限的捕获,如果有方法的话。
谢谢,
浏览 40提问于2020-05-08得票数 1
1回答
我有一个通过网络接收数据包的应用程序。我能够解释除有效负载(数据)部分之外的所有字段值。
考虑一个数据包结构: src地址| src端口|目标地址|目标端口|数据|校验和
包本身被存储为char*,我可以获得所有src/des addr,port的值。但是有效负载部分让我感到困惑。我能够以十六进制格式打印它,但以char格式打印它会给出非ascii值。当我将有效负载部分复制到一个新字符串并打印新字符串时,我什么也得不到,即它将打印任何内容,其长度为0。我没有收到任何错误或警告。谁能告诉我哪里出错了吗?我想我遗漏了一些东西。
以下是代码部分:
typedef struct pcap_802_
浏览 3提问于2012-03-29得票数 0
1回答
我使用libpcap代码来捕获Ubuntu中的网络流量,使用下面的代码,我在解析数据包协议时遇到了问题:
#include <stdio.h>
#include <stdlib.h>
#include <stddef.h>
#include <stdio.h>
#include <time.h>
#include <pcap.h>
#include <netinet/in.h>
#include <netinet/if_ether.h>
#include <netinet/ip.h>
浏览 6提问于2020-11-01得票数 2
回答已采纳
我们每天在许多不同的多播组上捕获许多pcap。为了进行测试和基准测试,我们希望在一个孤立的环境中以一种受控的方式重放这些文件。这些pcap同时被捕获,但是在不同的多播组和端口上。
我想按照数据包被记录的顺序以及不同(和可指定的)多播组的顺序,将这些文件重放到网络上(可能是用ttl=0或1)。必须对正在播放的所有文件进行同步排序。
例如,假设我们有两个捕获文件,foo.pcap和bar.pcap。我们希望在mcast组239.255.0.1:30001上重播foo.pcap数据包,而bar.pcap数据包应该在239.255.0.2:30002上重放。
foo.pcap的数据包记录在时间偏移量0
浏览 0提问于2014-07-03得票数 6
回答已采纳
2回答
我正在使用fp = pcap_open_dead(DLT_EN10MB,65535);来捕获pcap格式的帧。但是,如果我想跳过以太网头fp = pcap_open_dead(**DLT_XXX** ),我应该使用什么。我的模块正在第三层工作,所以我想从第三层开始捕获数据包。
fp = pcap_open_dead(DLT_EN10MB,65535);
if (NULL == fp)
{
FPA_ERROR_PRINT("unable to open the dead interface \n");
return 1;
在这方面的任何帮助都将受到高度赞赏。
提前
浏览 2提问于2015-07-01得票数 1
回答已采纳
1回答
我正在解析ufw日志,并在能够为ufw的ip6tables条目找到的文档中遇到限制。
这篇很好的博客文章很好地描述了iptables格式,但是有几个字段我在那里找不到,AFAIU是IPv6 6特有的。
下面是一个示例条目:
May 13 11:35:12 servername kernel: [ 4113.240744] [UFW BLOCK] IN=eth0 OUT= MAC=nn:nn:nn:nn:nn:nn:nn:nn:nn:nn:nn:nn:nn:nn SRC=nnnn:nnnn:nnnn:nnnn:nnnn:nnnn:nnnn:nnnn DST=nnnn:nnnn:nnnn:nnnn
浏览 0提问于2022-05-17得票数 0
回答已采纳
我试图使用两种不同的方法来解析pcap。当创建包含这两个方法的类时,pcap将传递给该类。当我在第一个方法中使用pcap时,循环没有问题。但是,当我在第二个方法中第二次解析它时,当我试图打印每个数据包时,什么都不会发生。我尝试将pcap直接传递给第二个方法,但仍然没有骰子。我需要重置计数器/指针吗?有什么想法吗?
如何从磁盘加载pcap
pcap = Pcap.openStream(pcapPath);
类构造函数如何输入pcap
public PcapParsing(Pcap pcap) {
this.pcap = pcap;
}
这两种方法如何解析pcap
publ
浏览 2提问于2020-05-02得票数 0
回答已采纳
我在(Linux,c,monitor模式)中使用libpcap捕获信标文件,如下所示
char *filter = "wlan type mgt subtype beacon";
pcap_compile(pcd,&bpg,filter,-1,PCAP_NETMASK_UNKNOWN);
pcap_setfilter(pcd, &bpg);
我捕捉到了信标帧,但它包括无线电头。(pcak数据链路返回IEEE_802_11_RADIO)
但我想只保存信标帧(删除无线电龙头头)到pcap。但是我在函数pcap_dump()中找不到这样的选项。
有什么方法可以保存封包
浏览 1提问于2013-11-30得票数 1
回答已采纳
我用的是wireshark。我使用wireshark通过FCS嗅探数据包,并将其保存到HardDisk中的pcap中。在运行时,它可以知道是否包括FCS。但我的疑问是,当我使用wireshark打开保存的pcap时,它是如何知道保存的文件是否用FCS捕获的?wireshark是如何与FCS区分文件的?在pcap中有任何变量知道这一点吗?
浏览 11提问于2015-05-28得票数 1
当我试图在pcap文件中转储一个数据包时,我得到了错误。
{
unsigned char *ofilename = "packet.pcap";
pcap_t *fp;
pcap_dumper_t *dumpfile;
const struct pcap_pkthdr *header;
fp = pcap_open_dead(DLT_RAW,256);
if(fp != NULL)
{
dumpfile = pcap_dump_open(fp, ofilename);
i
浏览 125提问于2014-10-21得票数 0
回答已采纳
1回答
我正在使用Qt库在Linux下编写一个应用程序。
因此,有两个QThreads。在其中一个线程中,pcap_next()函数在while周期中调用。所有线程在工作期间经常使用彼此的公共成员。
没有使用pcap库(例如从硬盘读取数据包),一切都是正确的,但是当我尝试将pcap的函数放入单独的thread中时,我有SEGFAULT错误。
我不明白pcap是怎么工作的。它看起来像是pcap冻结了整个进程,因此线程无法访问彼此的公共成员。
pcap的线程的主要run()函数如下所示:
while()
{
Data = pcap_next(handle, &header);
if (
浏览 1提问于2013-01-09得票数 2
1回答
我有一个使用pcap文件的c++程序(在linux上执行)。处理来自此pcap文件的每个数据包,并在文本文件中生成结果。我写了一个脚本,用不同的输入参数运行这个程序的两个实例。这个程序的一个实例在一个CPU上运行,另一个实例在第二个CPU上运行。
问题是,在我的程序中,我硬编码了pcap文件名。因此,在两个CPU上都会打开pcap文件,并从中读取数据包。
我希望这两个程序打开相同的pcap文件进行读取,这种情况只发生一次,即打开pcap文件,并且每个包都被发送到在CPU1和CPU2上运行的进程。
请给我一些方向,我怎样才能完成这项任务。
浏览 1提问于2014-07-17得票数 0
1回答
#include <stdio.h>
#include <stdlib.h>
#include <pcap.h>
#define BUFFER_SIZE 65535
char errbuf[PCAP_ERRBUF_SIZE];
int main(int argc, char **argv)
{
int d;
pcap_if_t *alldevsp;
pcap_t *pkt_handle;
if((pcap_findalldevs(&alldevsp,errbuf))==-1)
{
pri
浏览 2提问于2012-07-09得票数 7
回答已采纳
我正在使用pcap库,但是我不知道为什么我总是得到这样的输出:
新数据包大小: udata= 8 hdr=8 pkt=8
代码如下:
void handle_pcap(u_char *udata, const struct pcap_pkthdr *hdr, const u_char *pkt)
{
DEBUG("DANY new packet with size: udata= %d hdr=%d pkt=%d", (int) sizeof(udata),(int) sizeof(hdr),(int) sizeof(pkt) );
...
stuff
}
在我使用的另一个
浏览 0提问于2010-12-18得票数 0
是否有可能在一个IPv4连接上生成一个IPv4数据包头大于20个字节的IPv4数据包?
浏览 0提问于2017-06-06得票数 1
2回答
我有两个用C语言编写的程序,一个程序写入pcap文件,另一个程序在相同的time.For代码中读取,我使用以下代码
while(j < 100000)
{
pcount = pcap_dispatch(p,2000,&pcap_dump,(u_char *)pd);
j = j+pcount;
printf("Got %d packets , total packets %d\n",pcount,j);
}
为了解码数据包,我使用了以下代码
while( (re
浏览 47提问于2016-08-12得票数 1
我最近使用了DARPA网络流量数据包及其在KDD99中用于入侵检测评估的派生版本。
请原谅我有限的计算机网络领域知识,我只能从DARPA数据包头中获得9个特征。而不是KDD99中使用的41个特性。
我打算继续我在UNB ISCX入侵检测评估DataSet上的工作。但是,我想从pcap文件中派生出KDD99中使用的41个特性,并将其保存为CSV格式。有没有一种快速/简单的方法来实现这一点?
浏览 0提问于2012-12-30得票数 5
回答已采纳
我在找一些关于pcap-ng的信息。
pcap-ng和pcap有什么区别?
有没有用于pcap-ng的工具/库?
如何将pcap转换为pcap-ng,将pcap-ng转换为pcap?
浏览 51提问于2013-08-01得票数 5
回答已采纳
我读取存储在文件中的数据包
struct pcap_pkthdr *header;
const u_char *packetData;
pcap_next_ex(pcap, &header, &packetData)
我需要读取所有数据包,并将每一个数据包(数据包报头和数据包数据)存储在结构向量中。
struct packetStruct {
struct pcap_pkthdr *header;
const u_char *packetData;
};
但是,当我只将指针指定给带有头和包数据的内存时,将该结构指针推送到向量时,向量中的所有指针都指向读取循环后的
浏览 2提问于2017-10-13得票数 0
回答已采纳
1回答
我有兴趣发送,我有两个问题:
1)在实际尝试(并得到错误)之前,我似乎无法知道是否可以发送Jumbo帧。似乎只有在存在某种类型的网络适配器(即千兆网卡)时才有可能。
是否有一种方法可以知道我可以通过pcap发送的最大允许数据包,而不需要实际发送和失败?
2)我找不到任何关于pcap如何处理如此大的数据包的文档--从那时起,它似乎工作得很好,即使有正确的设备(例如千兆卡),流量不稳定,错误显示与pcap_sendpacket()函数相关,而且它未能发送数据(错误是一个通用的不能发送数据包错误,与大数据包无关的)。
有人试图用Pcap发送这么大的数据包吗?
(我的环境--如果重要的话,是Windo
浏览 4提问于2014-03-03得票数 0
回答已采纳
2回答
我有两个来自发送方和接收方的wireshark pcap文件。我正在使用不同的协议- TCP、UDP、RTMP和RTSP -从发送方向接收方传输实时视频。当网络断开时,有没有办法从这两个pcap文件中获取数据包丢失?
浏览 3提问于2018-07-11得票数 0
1回答
我正在使用libpcap库用C语言编写一个数据包解析器。下面是简单的代码
int main(int argc, char *argv[])
{
pcap_t *pcap;
const unsigned char *packet;
char errbuf[PCAP_ERRBUF_SIZE];
struct pcap_pkthdr header;
clock_t begin = clock();
// Type your interface name here
char *device = "ens33";
浏览 17提问于2020-08-21得票数 2
1回答
我刚开始使用libpcap。
我使用这个库来捕获包,并且我编写的捕获包的代码如下所示。
我正在窃听的接口总是充斥着arp数据包,所以总是有数据包进入interface.But,我无法点击这些数据包。接口已启动并正在运行。我在pcap_open_live函数上没有错误。
代码在C中,我正在FreeBSD10机器32位上运行这段代码。
void captutre_packet(char* ifname , int snaplen) {
char ebuf[PCAP_ERRBUF_SIZE];
int pflag = 0;/*promiscuous mode*/
snapl
浏览 0提问于2019-05-03得票数 0
1回答
我有一个包含3个包的pcap。我需要在这些包里找到一个WEP密钥。这些数据包只包含两个IV。这不是一个活攻击,所以我不能尝试蛮力。
📷
浏览 0提问于2017-11-04得票数 2
回答已采纳
1回答
我正在尝试编写一个简单的应用程序来输出dst和src TCP端口号。为了进行测试,我尝试将pcap过滤器应用于仅嗅探进出端口80的数据包。然而,我一直得到端口号为0,尽管我认为一切都是正确的。大约10%的时间我会得到5位数的端口号。谁能给我一些提示,告诉我我可能做错了什么?
#include<pcap.h>
#include<stdio.h>
#include<net/ethernet.h>
#include<netinet/ip.h>
#include<netinet/tcp.h>
#include<arpa/inet.h&g
浏览 1提问于2013-03-03得票数 2
回答已采纳
1回答
pcap中捕获流量的比较
、、、、
我正面临着一个我无法解决的问题。
我的目标:比较pcaps和测量捕获中的损失。场景:我通过WiFi向笔记本B上的共享目录发送数据(1,5GB文件)。在笔记本A上,我在发送无线局域网适配器时运行了Wireshark捕获(在混杂模式下)。在这些笔记本电脑之间,我有一个嗅探器(具有无线局域网的路由器处于监视模式),它在监视器模式下捕获WiFi流量=原始的802.11帧。文件传输完成后,我将停止在这两个设备上捕获。现在,我要做的是比较这两个pcap -衡量帧/数据包/数据丢失=,如果我用嗅探器捕获所有数据,以及它们中有多少丢失了。问题是,来自笔记本电脑A的pcap包含有TCP协议和其他.但是嗅探器中的
浏览 1提问于2020-05-20得票数 1
1回答
我使用tcprewrite从CAIDA数据集中重写我的原始pcap (更改MAC地址,然后更改IP)。我遇到了这个问题。命令用途如下:
sudo tcprewrite --infile=xxx.pcap --dlt=enet --outfile=yyy.pcap --enet-dmac=00:00:00:03 --enet-smac=00:00:00:1f
误差
pcap was captured using a snaplen of 65000 bytes. This may mean you have truncated packets.
我试图从网上寻找解决方案,但不幸的是,我无法解
浏览 9提问于2015-02-09得票数 1
回答已采纳
1回答
用pcap捕获不能跟上?
、、、
对于我正在为OSX构建的一个小工具,我想捕获从某个以太网控制器发送和接收的数据包的长度。
当我获取以太网卡时,我还会得到额外的信息,如最大数据包大小、链路速度等。
当我启动(我所称的) 'trafficMonitor‘时,我会像这样启动它:
static void initializeTrafficMonitor(const char* interfaceName, int packetSize) {
char errbuf[PCAP_ERRBUF_SIZE];
pcap_t* sessionHandle = pcap_open_live(interfaceName,
浏览 0提问于2012-09-02得票数 1
我使用一个pcap.net进程来广播一个数据包,并监听一个响应。我希望它接受的响应包有一定的长度。但是,每当我添加一个过滤器时,它只返回长度为100的数据包。下面是代码:
' Open the output device
Dim Communicator As PacketCommunicator = selectedOutputDevice.Open(100, PacketDeviceOpenAttributes.Promiscuous, 300)
Communicator.SetFilter("len >= 300")
' send broadca
浏览 1提问于2014-07-30得票数 0
回答已采纳
我目前正在使用pcap中的scapy修改一个scapy文件(在Linux上)。我这样做有两个原因:
我需要更改某些数据包的负载的特定部分,然后重放这些部分,以便我正在测试的软件接收更改后的数据,使我能够观察它的行为
当我尝试使用tcpreplay或scapy自己的sendp(...)时,对于一些数据包(原始负载),我得到的“消息太长了”。如果我没有弄错的话,减少负载应该允许我绕过这个问题。
下面是我所做工作的一个小例子(我使用ipython):
from scapy.all import rdpcap, wrpcap
from scapy.utils import sendp
浏览 0提问于2018-07-11得票数 1
回答已采纳
1回答
格罗弗。多个pcap到avi
、、、、
我有多个.pcap文件01,pcap.02,...N.pcap,它们包括两个流,Audio-G.711视频-H.264。每个pcap都有~1分钟的流,我需要制作一个.avi。我使用mergecap.exe将pcaps连接到一个大的pcap。
mergecap.exe -F pcap 01.pcap 02.pcap ....N.pcap -w out.pcap
在此之后,我使用gstreamer创建.avi文件
gst-launch-1.0 filesrc location=out.pcap ! tee name=t ! pcapparse dst-ip=192.168.2.55 dst-por
浏览 4提问于2016-09-12得票数 1
我有一个tcp客户端,需要通过tcp读取数据,但每次需要读取一个tcp数据包数据。
我使用以下代码:
socket_[socket_index]->async_receive(
boost::asio::buffer(buf, max_size),
boost::bind(
&pipe::handle_read, shared_from_this(),
boost::asio::placeholders::error,
socket_
浏览 0提问于2012-05-07得票数 2
回答已采纳
我有不断生成的pcap给我。它想要不断地把它们喂给一个“永远运行的”tshark/wireshark。以下是我尝试过的(OSX)
mkfifo tsharkin
tail -f -c +0 tsharkin | tshark -l -i - > tsharkout 2>stderr &
cat file1.pcap > tsharkin
上面的操作很好,我在tsharkout中获得了file1.pcapd的预期输出。
cat file2.pcap > tsharkin
以上内容不起作用,我在tsharkout中什么也得不到,但是我得到了stderr中的"
浏览 2提问于2016-11-11得票数 6
回答已采纳
我有一个旧系统,它运行使用libpcap (1.1.1版)的自定义2.6.15内核。最近,我用英特尔82575EB芯片组更改了我的网卡,这要求我将驱动程序更新为igb.ko (是e1000.ko)。更新后,libpcap将停止捕获数据包。我修改了来自tcpdump网站的示例测试代码,该代码捕获1个数据包并打印报头信息,libpcap返回header.len为1358,header.caplen为42,而在e1000情况下,packet.len和packet.caplen都返回1358。我尝试禁用MSI/MSI-X并增加MTU,但都不起作用。要让igb驱动程序与libpcap一起工作,我还需要设
浏览 1提问于2011-11-03得票数 0
2回答
如何分析捕获的网络流量?
、、、、
我有以下格式的网络流量:
Timestamp | Source | Destination | Protocol | Port | Payload | Payload Size
我正在试图确定在这个交通中是否存在已知的攻击。为此,我研究了一些入侵检测系统。看起来,和都要求转储文件是pcap,以便进行进一步的离线分析。我详细查找了这两个系统的文档,但找不到处理我所拥有的数据的任何选项。
对于如何进行分析,有什么建议吗?具体来说,我正在寻找下列之一:
关于如何直接使用系统来分析纯文本数据的一些提示。
工具将这些数据转换为PCAP文件,我以后可以在系统中使用该文件。
浏览 5提问于2014-01-23得票数 1
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
实时音视频
对象存储
云直播活动推荐
腾讯云开发者
