Pcap 文件格式和 WireShark

Wireshark是世界上最流行的网络分析工具。

这个强大的工具可以捕捉网络中的数据，并为用户提供关于网络和上层协议的各种信息。

与很多其他网络工具一样，Wireshark也使用pcap network library来进行封包捕捉。

可破解局域网内QQ、邮箱、msn、账号等的密码！！wireshark的原名是Ethereal，新名字是2006年起用的。

当时Ethereal的主要开发者决定离开他原来供职的公司，并继续开发这个软件。

但由于Ethereal这个名称的使用权已经被原来那个公司注册，Wireshark这个新名字也就应运而生了。

在成功运行Wireshark之后，我们就可以进入下一步，更进一步了解这个强大的工具。

下面是一张地址为192.168.1.2的计算机正在访问“”网站时的截图。

1. MENUS（菜单）2. SHORTCUTS（快捷方式）3. DISPLAY FILTER（显示过滤器）4. PACKET LIST PANE（封包列表)5. PACKET DETAILS PANE（封包详细信息）6. DISSECTOR PANE（16进制数据）7. MISCELLANOUS（杂项）1. MENUS（菜单）程序上方的8个菜单项用于对Wireshark进行配置：- "File"（文件）- "Edit" （编辑）- "View"（查看）- "Go" （转到）- "Capture"（捕获）- "Analyze"（分析）- "Statistics" （统计）- "Help" （帮助）打开或保存捕获的信息。

查找或标记封包。

进行全局设置。

设置Wireshark的视图。

跳转到捕获的数据。

设置捕捉过滤器并开始捕捉。

设置分析选项。

查看Wireshark的统计信息。

Wireshark的Pcap文件格式分析及解析源码Wireshark的Pcap文件格式分析及解析源码下面主要介绍下Ethereal默认的*.pcap文件保存格式。

Pcap文件头24B各字段说明：Magic：4B：0x1A 2B 3C 4D:用来标示文件的开始Major：2B，0x02 00:当前文件主要的版本号Minor：2B，0x04 00当前文件次要的版本号ThisZone：4B当地的标准时间；全零SigFigs：4B时间戳的精度；全零SnapLen：4B最大的存储长度LinkType：4B链路类型常用类型：0 BSD loopback devices, except for later OpenBSD1 Ethernet, and Linux loopback devices6 802.5 Token Ring7 ARCnet8 SLIP9 PPP10 FDDI100 LLC/SNAP-encapsulated ATM101 "raw IP", with no link102 BSD/OS SLIP103 BSD/OS PPP104 Cisco HDLC105 802.11108 later OpenBSD loopback devices (with the AF_value in network byte order)113 special Linux "cooked" capture114 LocalTalkPacket 包头和Packet数据组成字段说明：Timestamp：时间戳高位，精确到secondsTimestamp：时间戳低位，精确到microsecondsCaplen：当前数据区的长度，即抓取到的数据帧长度，由此可以得到下一个数据帧的位置。

Len：离线数据长度：网络中实际数据帧的长度，一般不大于caplen，多数情况下和Caplen数值相等。

wireshark源代码的一些分析epan/dissector/packet-XXX.c提供了相应协议的解析器需要把解析器先注册到系统中，然后实现协议解析proto_register_XXX()dissect_XXX()在协议解析中使用到的函数有三个变量， tvbuff_t , packet_info, proto_tree每一个proto_item都将被添加到proto_tree中去wiretap/wiretap提供了大量读取文件的程序文件读取分为两种，一种是读取正在捕获的文件，还有一种就是读取存在磁盘上的文件每一个文件格式都有自己的文件读取的程序，如标准libpcap文件格式cap格式，就对映libpcap.c和libpcap.h文件。

wiretap目录下的pcap_common.c和pcap_common.h提供一写文件格式的结构标准libpcap文件是如下储存网络数据的GLOABLE HEADER | PACKET HEADER | PACKET DATA | PACKET HEADER | PACKET DATA |以libpcap.c为例GLOABLE HEADER 分为两个部分 magic number 和 pcap_hdr 程序先调用libpcap_open打开文件并判断文件类型和初始化其他变量然后用libpcap_read读入PACKET HEADER 和 PACKET DATA。

一次调用只能读一个PACKET HEADER 和 PACKET DATA, 然后保存在wtap结构体中！所以一个wtap结构体只能保存一个packet!在wtap.h中保存着wtap_file_type 和 wtap_encap_type 分别表示文件类型和协议的封装类型/capinfos.c这是wireshark套件中的一个工具软件，它的作用是输出文件的信息capinfos支持所有wireshark 支持的文件格式在capinfos中文件中帧信息主要保存在wtag结构中体。

Wireshark是一种流行的网络分析工具，它可以捕获和分析网络数据包。

Wireshark抓包的格式是非常重要的，它决定了我们如何解析和分析捕获到的数据包。

本文将介绍Wireshark抓包的格式，包括常见的文件类型和数据结构，并探讨如何有效地利用这些格式进行网络分析和故障排查。

一、Wireshark抓包的文件格式Wireshark可以将捕获到的数据包保存为不同的文件格式，其中常见的包括pcap、pcapng、cap、etl等。

不同的文件格式具有不同的特点和用途，下面我们将逐一介绍它们。

1. pcap格式pcap（Packet Capture）是Wireshark最常用的文件格式，它可以保存捕获到的网络数据包以及相关的信息，如时间戳、数据长度、数据内容等。

pcap格式的文件通常使用libpcap或WinPcap库进行读取和分析，它可以跨评台使用，并且被许多网络工具和应用程序所支持。

2. pcapng格式pcapng（Packet Capture Next Generation）是Wireshark的一种新文件格式，它在pcap的基础上进行了扩展和改进，支持更多的元数据和信息字段。

pcapng格式的文件通常包含多个数据块（Block），每个数据块都可以保存不同类型的数据，如捕获配置信息、数据包数据、接口信息等。

pcapng格式的文件在Wireshark 1.8及以上版本中得到支持，在一些特定场景下具有更好的灵活性和可扩展性。

3. cap格式cap格式是一种比较老旧的文件格式，它通常用于微软网络监控工具或特定的硬件设备。

cap格式的文件结构较为简单，通常包含数据包的原始内容和一些简单的元数据信息，不支持一些高级的特性和功能。

4. etl格式etl（Event Trace Log）格式是一种Windows事件跟踪日志文件格式，它通常用于收集系统和应用程序的事件信息。

在一些特定情况下，我们也可以使用Wireshark来解析和分析etl格式的数据包，不过需要借助一些额外的工具和插件。

wireshark抓包原理解析Wireshark是一款功能强大的网络协议分析软件，可以帮助用户查看和分析网络数据包。

它能够从网络接口上捕获数据包，还可以根据不同的协议对数据包进行解析和分析。

那么，Wireshark是如何实现抓包的呢？下面，我们就从网络以及软件两个方面来解析Wireshark的抓包原理。

一、网络方面那么，数据包是如何到达我们的计算机的呢？它是通过网络线路、路由器等物理设备传输到各个计算机的网络接口上的。

当计算机收到数据包时，它会通过网络接口把数据包交给操作系统进行处理。

这个时候，Wireshark就可以通过在操作系统的网络接口处进行数据包捕获，从而实现对网络数据包的抓包。

当数据包进入网络接口时，它首先会被操作系统进行缓存。

这时，Wireshark就可以通过网络接口的混杂模式来抓取数据包。

混杂模式是指，网络接口会将所有经过它的数据包都传递给操作系统的缓存区，不管这些数据包是否是针对这台机器的。

这就使得Wireshark可以捕获所有经过这个网络接口的数据包。

二、软件方面Wireshark实现抓包主要是通过软件技术来实现的。

它使用了一种叫做「WinPcap」的软件包来实现对网络接口的监控和数据包的捕获。

WinPcap是一种针对Windows平台的网络接口抓包工具，它可以实现对网络接口的数据包进行捕获和过滤。

而Wireshark则是通过对WinPcap进行二次开发，来实现了更加丰富和强大的抓包功能。

当Wireshark收到从WinPcap传递来的数据包时，它首先会对数据包进行解析和过滤。

这个过程实际上就是Wireshark进行抓包和分析的核心部分。

它会根据数据包的协议类型和格式来进行解析，还可以根据用户的需求进行数据包的过滤，从而确保只抓取到用户所关心的数据包。

经过这些处理之后，Wireshark就可以在界面上展示出这些数据包的详细信息。

总结：Wireshark的抓包原理是通过在网络接口处捕获数据包，使用软件进行解析和过滤，并将结果呈现在界面上的方式实现的。

文档维护人：杨云邮箱：yangyun@版权所有 侵权必究 2013年12月上海网宿科技股份有限公司扎实稳健，和谐融洽志存高远，厚积薄发Wireshark 使用指南---通过wireshark 分析pcap 抓包方法说明版本修订记录（项目）目录1.背景 (4)2.支持的文件格式 (4)3.源目的IP查看 (4)4.DNS报文查看 (4)5.HTTP报文查看 (6)6.报文过滤语法 (8)（1）IP过滤：包括来源IP或者目标IP等于某个IP (8)（2）端口过滤： (8)（3）协议过滤： (9)（4）TCP显示过滤规则： (9)（5）包长度过滤： (9)（6）HTTP模式过滤： (9)（7）表达式： (11)1.背景本文档介绍如何利用wireshark工具分析抓包。

2.支持的文件格式支持解析wireshark或者tcpdump等抓包工具抓下来的报文，支持pcap/pcapng/cap等抓包格式。

（tcpdump抓包工具使用见“tcpdump使用指南.docx”）3.源目的IP查看通过目的IP查看判断用户访问是否到我们的加速服务。

以及其他的问题。

Pcap包在wireshark中展示如下图，由左往右各列的含义分别是：流序列号即第几条流（No.），相对时间（Time），源IP（Source），目的IP（Destination），协议（Protocol），报文长度（Length），报文详情（Info）。

红色框的部分就是抓包的源IP和目的IP了。

4.DNS报文查看可以通过dns判断域名是否引导到我们的加速服务上。

以及dns相关的其他问题。

过滤条件填dns，apply应用过滤条件，即可过滤出dns报文，如下图。

Info（报文详情）列查看dns报文的详情。

详情内容如“Standard query 0x4899 A ”，为dns请求报文，为请求解析的域名；内容如“Standard query response 0x6900 CNAME CNAME A 42.62.12.123 A 42.62.12.121”为dns响应报文，意思是解析的域名有别名和，解析结果IP是42.62.12.123 和42.62.12.121。

pcap文件格式和wireshark解析pcap文件头pcap文件头参见官方说明用python代码表达结构如下，I是32位无符号数，下面的定义均采用32位方式# bpf_u_int32 magic; 固定为0xA1B2C3D4，表示pcap包文件# u_short version_major; 主版本号# u_short version_minor; 分支版本号# bpf_int32 thiszone; 时区# bpf_u_int32 sigfigs;# bpf_u_int32 snaplen; 每个包的最大长度# bpf_u_int32 linktype; 链路层协议族self.struct_pcap_file_header = '!I2H4I'pcap每个包的头参见# struct timeval ts;# bpf_u_int32 caplen;# bpf_u_int32 len;self.struct_pcap_pkthdr = '!4I'timeval是c的时间戳结构体，前面一个整型数是秒数偏置，后面一个整型数是微秒偏置，详情可以查阅相关文档生成pcap文件使用python简单生成，写入到test.pcap文件，写入了两个包到该文件，linktype设置为162，在wireshark源码中表示保留给用户的USER15 类型# -*-coding:utf-8-*-"""Author：yinshunyaoDate:2017/3/24 0024上午 10:47"""import unittestimport structclass PacpTest(unittest.TestCase):def setUp(self):# pcap文件头格式## bpf_u_int32 magic; 固定为0xA1B2C3D4，表示pcap包文件# u_short version_major; 主版本号# u_short version_minor; 分支版本号# bpf_int32 thiszone; 时区# bpf_u_int32 sigfigs;# bpf_u_int32 snaplen; 每个包的最大长度# bpf_u_int32 linktype; 链路层协议族self.struct_pcap_file_header = '!I2H4I'# pcap包头格式## struct timeval ts;# bpf_u_int32 caplen;# bpf_u_int32 len;self.struct_pcap_pkthdr = '!4I'# 文件头self.file_header = struct.pack(self.struct_pcap_file_header,0xA1B2C3D4, 4, 1, 0, 0, 0xFFFF, 162 # USER15)def test_generate_pcap(self):# 消息体内容pkg_content1 = struct.pack('!2I', 100,101)pkg_content2 = struct.pack('!2I', 101,100)#pkg_header = struct.pack(self.struct_pcap_pkthdr, 0x4A5B1784,0x00081C6D,len(pkg_content1), len(pkg_content1))with open('test.pcap', 'wb') as test:test.write(self.file_header+pkg_header+pkg_content1+pkg_header+pkg_content2)wireshark解析效果用自定义的wireshark插件协议解析整体效果如下，后面具体介绍插件内容，可以看到Encapsulation type字段值是60，协议是USER15这个值跟前面文件头里面的link162的映射关系，在wireshark中完成，具体处理可以查看wireshark的C源码。

wireshark 格式解析摘要：1.引言2.Wireshark 简介3.Wireshark 的文件格式4.Wireshark 文件格式的解析5.总结正文：Wireshark 是一款流行的网络协议分析器，它可以用于捕获、查看和分析网络数据包。

Wireshark 支持多种文件格式，包括PCAP、PCAP-NG、JSON 等。

本文将介绍Wireshark 的文件格式及其解析方法。

Wireshark（以前称为Ethereal）是一款功能强大的网络协议分析器，广泛应用于网络故障排除、网络安全分析和网络优化等领域。

Wireshark 支持多种文件格式，其中最常用的是PCAP 格式。

PCAP（Packet Capture）是一种通用的网络数据包捕获格式，它可以存储网络数据包的原始内容，便于后续分析。

除了PCAP 格式，Wireshark 还支持其他文件格式，如PCAP-NG、JSON 等。

要解析Wireshark 文件，首先需要了解其文件格式。

Wireshark 的文件格式主要包括以下几部分：1.文件头（File Header）：文件头包含文件的基本信息，如文件版本、数据包计数、时间戳等。

2.数据包列表（Packet List）：数据包列表包含文件中所有的数据包。

每个数据包包含以下信息：- 数据包序号（Packet Number）- 时间戳（Timestamp）- 数据包长度（Packet Length）- 数据包内容（Packet Contents）Wireshark 文件格式的解析主要依赖于Wireshark 本身。

使用Wireshark 打开一个文件，可以直观地查看文件中的数据包列表，以及每个数据包的详细信息。

此外，Wireshark 还提供了丰富的过滤和搜索功能，可以帮助用户快速定位感兴趣的数据包。

总之，Wireshark 是一款功能强大的网络协议分析器，支持多种文件格式。

Linux使⽤tcpdump命令抓包保存pcap⽂件wireshark分析[root@ok Desktop]# yum search tcpdumpLoaded plugins: fastestmirror, refresh-packagekit, securityLoading mirror speeds from cached hostfile* base: * extras: * updates: ======================================================================= N/S Matched: tcpdump ======================================================================== tcpdump.x86_64 : A network traffic monitoring toolName and summary matches only, use "search all"for everything.[root@ok Desktop]# which tcpdump/usr/sbin/tcpdump[root@ok Desktop]# tcpdump -htcpdump version 4.1-PRE-CVS_2015_07_23libpcap version 1.4.0Usage: tcpdump [-aAdDefhIJKlLnNOpqRStuUvxX] [ -B size ] [ -c count ][ -C file_size ] [ -E algo:secret ] [ -F file ] [ -G seconds ][ -i interface ] [ -j tstamptype ] [ -M secret ][ -P in|out|inout ][ -r file ] [ -s snaplen ] [ -T type ] [ -w file ][ -W filecount ] [ -y datalinktype ] [ -z command ][ -Z user ] [ expression ][root@ok Desktop]# yum search wiresharkLoaded plugins: fastestmirror, refresh-packagekit, securityLoading mirror speeds from cached hostfile* base: * extras: * updates: ================================================ N/S Matched: wireshark ================================================wireshark-devel.i686 : Development headers and libraries for wiresharkwireshark-devel.x86_64 : Development headers and libraries for wiresharkwireshark-gnome.x86_64 : Gnome desktop integration for wireshark and wireshark-usermodewireshark.i686 : Network traffic analyzerwireshark.x86_64 : Network traffic analyzerName and summary matches only, use "search all"for everything.安装：[root@ok Desktop]# yum install wireshark* -y[root@ok Desktop]# which wireshark/usr/sbin/wireshark[root@ok Desktop]# rpm -qa|grep wiresharkwireshark-devel-1.8.10-17.el6.x86_64wireshark-1.8.10-17.el6.x86_64wireshark-gnome-1.8.10-17.el6.x86_64保存tcpdump抓包结果[root@bass Desktop]# tcpdump -i eth0 -w dump.pcap-i #是指定要抓取的⽹卡-w #指定结果保存的位置[root@bass Desktop]# tcpdump -i eth0 -w dump.pcap -vtcpdump: WARNING: eth0: no IPv4 address assignedtcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes^C189 packets captured189 packets received by filter0 packets dropped by kernel－v＃主要是为了得到Got 15这个数，当想要停⽌的时候，按下ctrl + c[root@bass Desktop]# ll -h dump.pcap-rw-r--r--. 1 tcpdump tcpdump 18K Aug 3013:19 dump.pcap在wireshark中打开：[root@bass Desktop]# wireshark dump.pcap ＃linux下查看我们⽤tcpdump抓包的时候，默认是显⽰这样的：上图中标出三快区域，红⾊框内，是⽤来显⽰简单的数据包信息，我们⽤tcpdump抓包如时候，默认情况是显⽰成这样的；深蓝框内，是⽤来显⽰选中的数据包的详细信息，是按照TCP/IP四层结构显⽰的，第⼀⾏是数据链路层的信息，第⼆⾏是⽹络层信息（IP协议），第三⾏是传输层信息（TCP协议），第四层是应⽤层信息（HTTP协议），可以展开第⼀⾏⽤来观察具体的内容；最后⼀个区域淡蓝⾊框中，是⽤来显⽰此数据包的真实⾯⽬。

文章标题：深度解析——pcap文件的python解析实例1. 引言在网络安全和数据分析领域，pcap文件是一种常见的数据格式，用于存储网络数据包。

通过解析pcap文件，我们可以深入分析网络通信的细节，从而识别潜在的安全威胁或者进行网络性能优化。

在本文中，将通过一个具体的python解析实例，深入探讨pcap文件的结构和解析方法，帮助我们更好地理解网络数据交互过程。

2. pcap文件的定义和结构2.1 pcap文件是一种网络数据包文件格式，用于记录在计算机网络上收发的数据包，可以被网络数据包捕获软件（如Wireshark、Tcpdump）所生成。

2.2 pcap文件包括全局文件头和数据包头部分。

全局文件头描述了整个pcap文件的基本信息，如魔数、版本号、时间戳精度等；数据包头则描述了每个数据包的详细信息，如时间戳、捕获长度、实际长度等。

3. python解析pcap文件的工具3.1 Scapy是一款功能强大的python网络数据包操作库，支持解析和创建各种类型的网络数据包，包括pcap文件。

3.2 通过Scapy库中的rdpcap函数，我们可以轻松读取pcap文件并将其转换为数据包列表，方便后续的解析和分析。

4. pcap文件解析实例4.1 使用Scapy库中的rdpcap函数读取指定的pcap文件，并将其存储为数据包列表。

4.2 针对数据包列表，可以逐个遍历数据包，并通过Scapy提供的方法获取数据包的详细信息，如源IP位置区域、目标IP位置区域、协议类型、数据长度等。

4.3 可以进一步对数据包进行过滤和筛选，以便针对特定的网络通信进行深入分析。

5. 总结与展望5.1 通过以上实例，我们深入了解了pcap文件的结构和python解析方法，为进一步的网络数据包分析打下了基础。

5.2 随着网络安全和数据分析领域的不断发展，pcap文件的解析和利用将变得更加重要，我们可以进一步探索基于pcap文件的网络行为分析、异常检测等应用。

报文存储格式PCAPNG 介绍编写：版本：V1.0日期：2015.5.4PCAPNG是一种对PCAP报文存储格式增强设计的新型报文存储格式，引入了存储数据类型块的概念，主要特点：（1）可扩展性：允许嵌入私有扩展信息，即使无法识别这些信息的工具也能够正确处理文件中其他可识别信息。

（2）可移植性：文件独立包含用于阅读报文的必要信息，如网络、硬件和操作系统等。

（3）追加数据：已有文件允许追加新的数据，追加后文件依然可读。

1文件结构 (1)1.1通用块结构 (1)1.2块类型 (1)1.3逻辑块层次 (2)1.4物理文件布局 (3)1.5选项 (3)1.6数据格式 (4)1.6.1字节序 (4)1.6.2对齐 (5)2块定义 (1)2.1分节块（强制） (1)2.2接口描述块（强制） (2)2.3增强报文块 (4)2.4简单报文块 (5)2.5报文块（废弃） (6)2.6名称解析块 (8)2.7接口统计块 (9)3试验性质的块类型 (10)3.1替代性报文块 (10)3.2压缩块 (10)3.3加密块 (10)3.4定长块 (11)3.5目录块 (12)3.6流量统计和监视块 (12)3.7事件/安全块 (12)4推荐扩展名：.pcapng (12)附录A 报文块特征字 (1)附录B 块类型代码 (1)附录C 链路类型代码 (1)附录D 链路层头定义 (4)1文件结构1.1通用块结构文件由多个块顺序组成。

所有块都遵循一个基本块结构格式。

图1-1基本块结构如上图1-1所示基本块结构格式，各部分定义如下：（1）Block Type：块类型，32位，最高位为1用于私有定义。

块类型定义详见附录B。

（2）Block Total Length：块总长度，32位，包括从块类型开始到块结束的所有字节数。

（3）Block Body：块数据，可变长度，32位对齐。

（4）Block Total Length：块总长度，32位，是前面块总长度的重复，以便可以此向前访问文件数据。

.pcap文件格式的再分析当你在Windows或者Linux环境下用tcpdump命令抓取数据包时，你将得到如下格式的tcpdump文件：文件头| 数据包头 | 链路层数据 | 数据包头 | 链路层数据 | 数据包头| 链路层数据 |......1. 文件头：每一个文件都以一个24字节的文件头开头。

前四个字节是tcpdump文件标志“A1 B2 C3 D4”或为“D4 C3 B2 A1”。

2. 数据包头 | 链路层数据：文件头之后，就是“数据包头 | 链路层数据”为一组的这样一组组数据。

3. 数据包头长度16个字节，它不是网路上真正传输的数据，它包含的信息主要是截获这个包的时间等信息。

数据包头的第8-11和12-15字节（按编程习惯，第一个字节为0字节）表示后面链路层数据包的长度。

8-11字节是其理论长度，12-15字节为其实际长度，如果存在截断情况，两者可能不同。

如果在tcpdump命令中使用了-s 0 参数，则8-11字节和12-15字节应该相等。

从数据包头结束，到长度指明的字节数为止，是实际在网络中传输的链路层数据包。

然后，就是下一个数据包头。

4. 链路层数据链路层数据包格式和传输的方式有关：局域网共享上网，则是RFC894以太网协议，少数情况下是RFC 1042和802.3协议；如果是Modem拨号上网，则是RFC 1055的SLIP协议；如果是ADSL，则是RFC 1548的PPP协议。

RFC894/RFC 1042/RFC 1548这三种协议的格式都是：包头 | IP数据包 |（包尾）对于RFC894,包头长度为14字节； ------>局域网方式上网；对于RFC1042,包头长度为22字节；对于RFC1548,包头长度为5字节；------>ADSL方式上网；跨过这些包头字节，就是IP数据包了。

5.IP数据包： IP数据包格式为： IP包头 | IP包数据1）IP包头的长度：IP包头的长度由IP包的第0个字节决定，如果应用的是IPv4协议，则IP包头的第0个字节总是“45”（高四位‘4’表示IPv4协议；低四位为‘5’，则IP包头的长度为5×4=20字节，头的长度是以四字节为单位的）。

Wireshark使用说明一、安装wireshark：1、在windows下安装：Wireshark的安装需要WinPcap，但是在Wireshark的安装包里一般含有WinPcap，所以不需要单独下载安装它。

除了普通的安装之外，还有几个组件供挑选安装。

选择组件(注意：GTK1和GTK2无法同时安装)：Wireshark GTK1-Wireshark：一个GUI网络分析工具Wireshark GTK2-Wireshark：一个GUI网络分析工具（建议使用GTK2 GUI模组工具）GTK-Wimp：GTK2窗口模拟(看起来感觉像原生windows32程序，推荐使用)TSshark：一个命令行的网络分析工具注意：如果使用GTK2的GUI界面遇到问题可以尝试GTK1，在Windows下256色（8bit）显示模式无法运行GTK2.但是某些高级分析统计功能在GTK1下可能无法实现。

插件/扩展(Wireshark,TShark分析引擎)：Dissector Plugins：带有扩展分析的插件Tree Statistics Plugins-树状统计插件：统计工具扩展Mate - Meta Analysis and Tracing Engine (experimental):可配置的显示过滤引擎，参考/Mate.SNMP MIBs: SNMP，MIBS的详细分析。

2、在LINUX下安装：（1）在编译或者安装二进制发行版之前，您必须确定已经安装如下包：GTK+：The GIMP Tool Kit.Glib：可以从获得。

Libpcap：Wireshark用来捕捉包的工具，您可以从获得。

根据您操作系统的不同，您或许能够安装二进制包，如RPMs.或许您需要获得源文件并编译它。

如果您已经下载了GTK+源文件，例 1 “从源文件编译GTK+”提供的指令对您编译有所帮助。

例 1. 从源文件编译GTK+#gunzip -dc gtk+-1.2.10.tar.gz | tar xvf –#./configure#make install注意：您可能需要修改例1 中提供的版本号成对应您下载的GTK+版本。

Wireshark使用说明文档（详细中文版）前言：由于wireshark在网上的使用说明文档较少，并且在我们的日常的工作中该软件基本每天都要接触，因此写下该文档，只希望对该软件有兴趣的同学的学习能稍微有一点点的帮助。

该文档的出现完全要感谢我们的部门经理，要不是他的督促下可能到现在仍然没有类似的介绍wireshark的文档出现。

由于每天的事情也比较多最近，以至于该文档拖了很久才出现在大家面前，对此也深感无奈；`该文档只介绍wireshark的一些简单的、常用的日常使用的方式，由于书写者水平有限，致以该文档在书写的过程中可能避免不了会有一些错误以及不准确的地方，对于错误的、不准确的地方还请大家多多指正、多多包涵。

中新软件有限公司技术中心：孙凯目录简介 -------------------------------------------------------------------------------------------------------------------------------------- 31.1.、什么是Wireshark----------------------------------------------------------------------------------------------------- 32.1、主要应用--------------------------------------------------------------------------------------------------------------- 31.1.2. 特性 ------------------------------------------------------------------------------------------------------------- 4 安装 -------------------------------------------------------------------------------------------------------------------------------------- 42.1、windows平台上的安装 ------------------------------------------------------------------------------------------------ 42.2、linux平台上的安装 -------------------------------------------------------------------------------------------------- 112.2.1、RedHat版本---------------------------------------------------------------------------------------------------- 112.2.1.1、tcpdump源码安装方式 ---------------------------------------------------------------------------- 112.2.2.2、Linux yum安装方式 ------------------------------------------------------------------------------- 162.3、Ubuntu apt-get安装方式 ------------------------------------------------------------------------------------------ 21 界面概括 ------------------------------------------------------------------------------------------------------------------------------- 253.1.0、主菜单栏-------------------------------------------------------------------------------------------------------------- 263.1.1、抓包工具栏----------------------------------------------------------------------------------------------------------- 263.1.2、文件工具栏----------------------------------------------------------------------------------------------------------- 373.1.3、包查找工具栏-------------------------------------------------------------------------------------------------------- 383.1.4、颜色定义工具栏 ---------------------------------------------------------------------------------------------------- 383.1.5、字体大小工具栏 ---------------------------------------------------------------------------------------------------- 393.1.6、首选项工具栏-------------------------------------------------------------------------------------------------------- 39 菜单简介 ------------------------------------------------------------------------------------------------------------------------------- 444.2.0、菜单栏----------------------------------------------------------------------------------------------------------------- 444.2.1、file菜单 ------------------------------------------------------------------------------------------------------------- 454.2.2、Edit菜单 ------------------------------------------------------------------------------------------------------------- 464.2.3、View菜单 ------------------------------------------------------------------------------------------------------------- 494.2.4、Go菜单栏 ------------------------------------------------------------------------------------------------------------- 534.2.5、Capture菜单栏 ----------------------------------------------------------------------------------------------------- 544.2.6、Analyze菜单栏 ----------------------------------------------------------------------------------------------------- 554.2.7、Statistics菜单栏 ------------------------------------------------------------------------------------------------ 624.2.8、Telephony菜单栏 -------------------------------------------------------------------------------------------------- 704.2.9、Tools菜单栏 -------------------------------------------------------------------------------------------------------- 714.3.0、Internals（内部）菜单栏 -------------------------------------------------------------------------------------- 714.3.1、Help菜单栏---------------------------------------------------------------------------------------------------------- 72 wireshark显示/抓包过滤器 ----------------------------------------------------------------------------------------------------- 745.1、显示过滤器概括-------------------------------------------------------------------------------------------------------- 745.1.1、wireshark规则编辑----------------------------------------------------------------------------------------- 755.1.2、语法以及连接符 ---------------------------------------------------------------------------------------------- 765.1.3、新建规则-------------------------------------------------------------------------------------------------------- 765.2、抓包过滤器概括-------------------------------------------------------------------------------------------------------- 835.2.1、wireshark规则编辑----------------------------------------------------------------------------------------- 845.2.2、语法以及连接符 ---------------------------------------------------------------------------------------------- 845.2.3、新建规则-------------------------------------------------------------------------------------------------------- 85 协议分析 ------------------------------------------------------------------------------------------------------------------------------- 906.1、TCP协议原理简介及分析-------------------------------------------------------------------------------------------- 906.1.1、TCP协议原理简介-------------------------------------------------------------------------------------------- 916.1.2、TCP协议数据包捕捉分析 ---------------------------------------------------------------------------------- 976.1.2.1、TCP数据包头部格式 ------------------------------------------------------------------------------- 976.1.2.2、TCP连接建立的三次握手 ------------------------------------------------------------------------- 996.1.2.3、TCP四次挥手的连接终止 ----------------------------------------------------------------------- 1006.1.2.4、SYN Flood攻击数据包 -------------------------------------------------------------------------- 1016.1.2.5、ACK Flood攻击------------------------------------------------------------------------------------ 1016.2、HTTP协议原理简介及分析 ---------------------------------------------------------------------------------------- 1026.2.1、HTTP协议工作原理简介 ---------------------------------------------------------------------------------- 1036.2.2、HTTP协议数据包捕捉分析------------------------------------------------------------------------------- 1106.2.2.1、HTTP数据包头部格式---------------------------------------------------------------------------- 1106.2.2.2、HTTP协议的连接 ---------------------------------------------------------------------------------- 111 常见问题 ----------------------------------------------------------------------------------------------------------------------------- 1137.1、wireshark安装问题 ------------------------------------------------------------------------------------------------ 1137.1.2、找不到接口 -------------------------------------------------------------------------------------------------- 1137.2、wireshark显示问题 ------------------------------------------------------------------------------------------------ 1157.2.1、数据包序列号问题 ----------------------------------------------------------------------------------------- 1157.2.2、校验和问题 -------------------------------------------------------------------------------------------------- 116简介1.1.、什么是WiresharkWireshark 是网络包分析工具。

libpcap 的数组表示:低位在前文件头 24字节1 32-bit magic number D4C3B2A12 16-bit major version number 02003 16-bit minor version number 04004 32-bit time zone offset 未使用全零5 32-bit time stamp accuracy 未使用全零6 32-bit snapshot length7 32-bit link layer type0 BSD loopback devices, except for later OpenBSD1 Ethernet, and Linux loopback devices6 802.5 Token Ring7 ARCnet8 SLIP9 PPP10 FDDI100 LLC/SNAP-encapsulated ATM101 "raw IP", with no link102 BSD/OS SLIP103 BSD/OS PPP104 Cisco HDLC105 802.11108 later OpenBSD loopback devices (with the AF_value in network byte order)113 special Linux "cooked" capture114 LocalTalk帧头 16字节1 32-bit time zone offset 秒2 32-bit time stamp accuracy 毫秒3 32-bit captured length4 32-bit packet length[用户数据]对于Ethernet, and Linux loopback devices以太网包头1 48-bit 目标 Physical Address2 48-bit 源 Physical Address3 16-bit 类型0x0800 IP包0x0805 ARP包[以太网数据]对于IP包可参照TCP/IP中的说明本文来自CSDN博客，转载请标明出处：/zblue78/archive/2007/07/26/1708223.aspx文件头格式struct pcap_file_header {bpf_u_int32 magic; //Libpcap magic number.u_short version_major; //Libpcap major version.u_short version_minor; //Libpcap minor version.bpf_int32 thiszone; //Gmt to local correction.bpf_u_int32 sigfigs; //Accuracy of timestamps.bpf_u_int32 snaplen; //Length of the max saved portion of each packet.bpf_u_int32 linktype; //Data link type (DLT_*). Seewin_bpf.h for details.};每个包头的格式struct pcap_pkthdr {struct timeval ts; //time stampbpf_u_int32 caplen; //length of portion presentbpf_u_int32 len; //length this packet (off wire)};。

pktreplay指令-回复pktreplay指令是一个在计算机网络领域中非常有用的工具。

它可以用来捕获和重放网络数据包，以便在网络环境中模拟和分析真实的网络流量。

本文将介绍pktreplay指令的使用方法以及其在网络工程和网络安全领域中的应用。

第一步：基本概述在开始之前，我们需要了解pktreplay指令的基本概念和功能。

pktreplay是一个开源工具，用于捕获和重放网络数据包。

它可以通过读取和写入pcap文件来实现数据包的捕获和重放。

Pcap文件是一种常见的网络数据包存储文件格式，它记录了网络数据包的所有相关信息，包括源IP地址、目的IP地址、协议类型、数据包大小等。

第二步：安装pktreplay工具在使用pktreplay指令之前，我们需要先安装pktreplay工具。

pktreplay可以在Linux、Unix和Windows等操作系统中进行安装。

在Linux和Unix系统中，可以通过包管理器如apt或yum来安装pktreplay。

在Windows系统中，可以从pktreplay的官方网站上下载安装包，并按照界面提示进行安装。

第三步：使用pktreplay指令一旦pktreplay工具安装完成，我们就可以开始使用pktreplay指令了。

pktreplay指令的基本语法如下：pktreplay [options] [input_file.pcap]其中，options是一些可选的参数，用于配置pktreplay的行为。

input_file.pcap是需要进行重放的pcap文件名。

第四步：重放网络数据包要使用pktreplay指令进行数据包重放，我们首先需要获取一个pcap 文件作为输入。

这可以通过多种方式实现，比如使用网络嗅探工具如tcpdump或wireshark来捕获网络流量。

捕获到的网络流量将被保存到pcap文件中。

接下来，我们使用pktreplay指令来重放pcap文件中的网络数据包。

text2pcap是一个将ASCII hex转储数据转换为pcap或pcapng文件的工具。

以下是text2pcap 的用法：进入DoS，切换到Wireshark安装目录（默认为C:\Program Files\Wireshark）。

执行命令：text2pcap [选项] <输入文件名> <输出文件名>-o hex | oct | dec：指定偏移的基数，默认为十六进制。

-t <timefmt>：将包之前的文本视为日期/时间码，timefmt是strptime(3)支持的排序格式字符串。

例如，时间“10:15:14.5476”的格式代码为“%H:%M:%S”。

如果不指定时间，则使用当前系统时间。

-n：以pcapng格式而不是pcap格式写入文件，缺省为pcap格式。

-l：指定此数据包的链路层标头类型，缺省为以太网（1）。

-e <l3pid>：在每个数据包之前包含一个虚拟以太网报头，以十六进制指定以太网头的L3PID。

如果您的dump具有第3层标头和有效负载（例如IP标头），但没有第2层封装，请使用此选项。

示例：-e 0x806 指定ARP数据包。

对于IP数据包，您也可以使用-l 101 来指示Wireshark 的原始IP数据包，而不是生成虚假的以太网头。

请注意，-l 101 不适用于任何非IP第3层数据包（例如ARP），而使用-e 生成虚拟以太网头适用于任何类型的L3 数据包。

-m <max-packet>：设置最大数据包长度，默认为262144。

-h：帮助选项，当捕获报文为非完整数据实（比如只有应用层数据）时，可以使用以下选项对报文头进行构造。

示例：假设有一个名为"hexdump.txt"的ASCII hex转储文件，可以使用以下命令将其转换为pcap文件：text2pcap hexdump.txt output.pcap请注意，在使用text2pcap之前，需要先安装Wireshark软件包并确保其正确安装。