PCAP文件格式

发布于 2013-10-20 23:12:31 浏览：2918 订阅该版

PCAP是tcpdump、wireshark中常用的文件格式，特别是可以使用wireshark载入进行数据报文分析。

PCAP数据格式定义如下：[http://wiki.wireshark.org/Development/LibpcapFileFormat](http://wiki.wireshark.org/Development/LibpcapFileFormat)
文件格式：
Global Header
Packet Header
Packet Data
...
Packet Header
Packet Data
...

其中Global Header的格式定义如下：
```
struct pcap_hdr
{
    rt_uint32_t magic_number;   /* magic number */
    rt_uint16_t version_major;  /* major version number */
    rt_uint16_t version_minor;  /* minor version number */
    rt_int32_t  thiszone;       /* GMT to local correction */
    rt_uint32_t sigfigs;        /* accuracy of timestamps */
    rt_uint32_t snaplen;        /* max length of captured packets, in octets */
    rt_uint32_t network;        /* data link type */
};
```

其中这些基本上都可以选择固定值：
```
#define PCAP_MAGIC_NUM  	0xa1b2c3d4
#define PCAP_MAJOR_VER  	0x02
#define PCAP_MINOR_VER  	0x04
#define LINKTYPE_ETHERNET	0x01
```

即magic number是0xa1b2c3d4，如果是大端格式，则反过来。PCAP文件的版本号选择2.4，network类型参加这里的定义：[http://www.tcpdump.org/linktypes.html](http://www.tcpdump.org/linktypes.html)，因为是ETH，所以选择0x01。

针对于每个抓取到的报文头定义：
```
struct pcaprec_hdr
{
    rt_uint32_t ts_sec;         /* timestamp seconds */
    rt_uint32_t ts_usec;        /* timestamp microseconds */
    rt_uint32_t incl_len;       /* number of octets of packet saved in file */
    rt_uint32_t orig_len;       /* actual length of packet */
};
```

incl_len是保存的长度，orig_len是实际的报文长度，允许保存的长度小于实际的长度。

再往后，Packet Data就是实际的报文了。