pcap文件解析工具（pcap文件格式）



工欲善其事，必先利其器。学习掌握通信协议分析，工具很重要。本文来自“中国知网”下载，学习内容摘录自《基于Wireshark二次开发的地铁信号系统应用协议解析插件》（2012年），第一作者：唐辉，上海富欣智能交通控制有限公司。通过阅读本文，可以对Wireshark具有一定的基础性了解。

什么是Wireshark?

Wireshark（原名Ethereal）是目前世界上最受欢迎的网络封包协议分析软件，利用它可将捕获到的各种各样协议的网络二进制数据流翻译为人们容易读懂和理解的文字和图表等形式，极大地方便对网络活动的监测分析。它于1998年由美国Gerald Combs 首创研发，原名Ethereal，2006 年5月，因商标问题，更名为Wireshark。它是一个开源代码的免费软件，任何人都可自由下载，也可参与开发。Wireshark网络协议分析软件工作特点是通过Windows 提供的winpcap库文件，wireshark可使用winpcap 所提供的访问网络底层的能力，只抓取所有通过特定网口的UDP或者TCP的数据包而不会阻塞、过滤或控制其他应用程序数据包的发收，仅仅能监听共享网络上传送的数据包，捕获IP 网络包，不会阻塞IP 网络包的正常传输。

Wireshark提供两个主要的功能：网络包捕获和网络包协议解析。由于网络上充斥着各个应用程序所需要交互的IP包流经wireshar所监听的网卡，为方便使用者获取自己所需要的的网络包且不产生过大的捕获文件，在此Wireshark 提供的协议过滤、IP过滤和端口过滤3种功能已经满足我们获取特定对象的特定网络数据需求。

（1）协议过滤：TCP、HTTP、UDP、HTTP、IP、SMTP、FTP、ICMP、SSL 等，排除某种协议可使用！tcp或者not tcp。

（2）IP过滤：包括来源IP（src）和目标IP（dst）；ip.dst == 192.168.0.1 多个规则可使用and、or 进行组合，支持括号，包括使用contains关键字。

（3）端口过滤：tcp.port >= 1 and tcp.port <=8。

（4）包长过滤：(udp.length > 100 and udp.length< 1 000) or udp.length= 1 200。

（5）http模式过滤：http.request.method = “Get”。

Wireshark数据包解析原理

应用层数据在经网络传输之前，先由上往下层层封装的，而Wireshark 的解析正好相反，由下往上层层解封装的，Wireshark 以一棵协议树的形式对数据包分析，解析到某一层的时候由某一层具体的解析协议来解析。Wireshark 中每个协议解析器都只解析它所负责的那部分协议，然后将解析后的结果传给下一级解析器解析下一个封装的部分，比如tcp协议解析函数dissect_tcp()，它首先会将报头的各个字段信息详细给解析出来，然后对于payload 载荷数据，如果存在有效载荷数据就交dissect_tcp_payload()函数去处理或者自己处理，或者交给注册在该协议下的相应解析协议去处理。每一个解析器对捕获的数据包都开始于帧解析，从帧解析开始它将数据传给下一级别的数据解析器，例如由以太网解析器解析以太网报头，以太网的负载然后传给下一级解析器（如IP），诸如此类。每一步，数据包的每一级细节均被解析并显示。

关注微信公众号《地铁超人笔记》，回复“论文”，即可获取免费下载链接，阅读原论文。

版权声明：

本文来自互联网用户投稿，该文观点仅代表作者本人，不代表本站立场。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。
如若内容造成侵权、违法违规、事实不符，请将相关资料发送至xkadmin@xkablog.com进行投诉反馈，一经查实，立即处理！

转载请注明出处，原文链接：https://www.xkablog.com/haskellbc/40945.html