cap格式简单分析

ssddyb

                [color="#ff0000"]分析一、
文件头部   ： D4 C3 B2 A1 02 00 04 00 00 00 00 00 00 00 00 00
              FF FF 00 00 01 00 00 00
数据包头部1： 3B B7 0F 4B 25 52 01 00 [color="#0000ff"]A2 00 00 00 A2
00 00 00
数据       ： 00 0F FE 0A ...67 F2 95 长度：0xA2 = 162
数据包头部2： 3B B7 0F 4B 4D 06 04 00[color="#0000ff"] A2 00 00 00 A2
00 00 00
数据       ： 00 1E ... 长度：0xA2 = 162

[color="#ff0000"]分析二、
[color="#000000"]文件头部
        [color="#ff00ff"]标识        [color="#00ffff"]版本(guess)
[color="#ff00ff"]        D4 C3 B2 A1 02 00 04
00 00 00 00 00 00 00 00 00
        FF FF 00 00 01 00 00 00
                                [color="#0000ff"]理论长度    [color="#00ff00"]实际长度
头部1： BD 77 10 4B 11 AB 01 00 [color="#0000ff"]3C 00 00 00 [color="#00ff00"]3C 00 00 00
数据 ： 00 1D ...



[color="#ff0000"]Eth协议：
[color="#008000"]6字节目的      6字节源地址      
[color="#ff0000"]2字节协议类型
[color="#008000"]00 1E 90 EB BA 00 0F FE 0A
D2 C8 [color="#ff0000"]08 00

协议类型：
IP --- 0x08 00


[color="#ff0000"]IP协议：
长度 通常为20字节，例外由首4位确定
载荷类型的位置：第10字节
UDP 17 0x11
TCP  6 0x06
ICMP 1 0x01

typedef struct ip_hdr                //定义IP首部
{
    unsigned
char    h_verlen;        //4位IP版本号,4位首部长度
    unsigned
char    tos;            //8位服务类型TOS
    unsigned
short    total_len;        //16位总长度（字节）
    unsigned
short    ident;            //16位标识
    unsigned
short    frag_and_flags;    //3位标志位
    unsigned
char    ttl;            //8位生存时间 TTL
    unsigned
char    proto;            //8位协议 (TCP, UDP 或其他)
    unsigned
short    checksum;        //16位IP首部校验和
    unsigned
int    sourceIP;        //32位源IP地址
    unsigned
int    destIP;            //32位目的IP地址
}IP_HEADER, *PIP_HEADER;

[color="#ff0000"]UDP 协议：
[color="#ff0000"]8个字节
源端口 2 目的端口2 长度2 校验2

[color="#ff0000"]TCP协议：
[color="#ff0000"]长度:20
typedef struct tcp_hdr                //定义TCP首部
{
    unsigned
short    th_sport;        //16位源端口
    unsigned
short    th_dport;        //16位目的端口
    unsigned
int    th_seq;            //32位序列号
    unsigned
int    th_ack;            //32位确认号
    unsigned
char    th_lenres;        //4位首部长度/6位保留字
    unsigned
char    th_flags;        //6位标志位
    unsigned
short    th_win;            //16位窗口大小
    unsigned
short    th_sum;            //16位校验和
    unsigned
short    th_urp;            //16位紧急数据偏移量
}TCP_HEADER, *PTCP_HEADER;

常见端口：
53 domain(DNS)
80 http协议
1863 msnp协议


RTP协议分析：
RTP 固定头中的各字段
RTP 头有以下格式 :
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
2 3 4 5 6 7 8 9 0
1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|V=2|P|X|
CC  |M| [color="#ff0000"]    PT      | sequence number              
|
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|                        timestamp                           
|
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|
synchronization source (SSRC)
identifier                    |
+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
|
contributing source (CSRC) identifiers                      |
| ....                                                        
|
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
               
               
               
               
               

本文来自ChinaUnix博客，如果查看原文请点：http://blog.chinaunix.net/u3/108358/showart_2125033.html