一 基本格式：

   檔案頭 資料包頭資料報資料包頭資料報......

二、檔案頭：

   檔案頭結構體
 sturct pcap_file_header
 {
      DWORD           magic;
      DWORD           version_major;
      DWORD           version_minor;
      DWORD           thiszone;
      DWORD           sigfigs;
      DWORD           snaplen;
      DWORD           linktype;
 }
 
說明：
 
1、標識位：32位的，這個標識位的值是16進位制的 0xa1b2c3d4。
a 32-bit        magic number ,The magic number has the value hex a1b2c3d4.
2、主版本號：16位， 預設值為0x2。
a 16-bit          major version number,The major version number should have the value 2.
3、副版本號：16位，預設值為0x04。
a 16-bit          minor version number,The minor version number should have the value 4.
4、區域時間：32位，實際上該值並未使用，因此可以將該位設定為0。
a 32-bit          time zone offset field that actually not used, so you can (and probably should) just make it 0;
5、精確時間戳：32位，實際上該值並未使用，因此可以將該值設定為0。
a 32-bit          time stamp accuracy field tha not actually used,so you can (and probably should) just make it 0;
6、資料包最大長度：32位，該值設定所抓獲的資料包的最大長度，如果所有資料包都要抓獲，將該值設定為65535；例如：想獲取資料包的前64位元組，可將該值設定為64。
a 32-bit          snapshot length" field;The snapshot length field should be the maximum number of bytes perpacket that will be captured. If the entire packet is captured, make it 65535; if you only capture, for example, the first 64 bytes of the packet, make it 64.
7、鏈路層型別：32位， 資料包的鏈路層包頭決定了鏈路層的型別。
a 32-bit link layer type field.The link-layer type depends on the type of link-layer header that the
packets in the capture file have:
 
以下是資料值與鏈路層型別的對應表
0            BSD       loopback devices, except for later OpenBSD
1            Ethernet, and Linux loopback devices   乙太網型別，大多數的資料包為這種型別。
6            802.5 Token Ring
7            ARCnet
8            SLIP
9            PPP
10          FDDI
100        LLC/SNAP-encapsulated ATM
101        raw IP, with no link
102        BSD/OS SLIP
103        BSD/OS PPP
104        Cisco HDLC
105        802.11
108        later OpenBSD loopback devices (with the AF_value in network byte order)
113               special Linux cooked capture
114               LocalTalk

三 packet資料包頭：

struct pcap_pkthdr
{
struct tim         ts;
      DWORD              caplen;
      DWORD              len;
}
 
struct tim
{
DWORD       GMTtime;
DWORD       microTime
}
說明：
 
1、時間戳，包括：
秒計時：32位，一個UNIX格式的精確到秒時間值，用來記錄資料包抓獲的時間，記錄方式是記錄從格林尼治時間的1970年1月1日 00:00:00 到抓包時經過的秒數；
微秒計時：32位， 抓取資料包時的微秒值。
a time stamp, consisting of:
a UNIX-format time-in-seconds when the packet was captured, i.e. the number of seconds since January 1,1970, 00:00:00 GMT (that GMT, *NOT* local time!);  
the number of microseconds since that second when the packet was captured;
 
2、資料包長度：32位 ，標識所抓獲的資料包儲存在pcap檔案中的實際長度，以位元組為單位。
a 32-bit value giving the number of bytes of packet data that were captured;
 
3、資料包實際長度： 所抓獲的資料包的真實長度，如果檔案中儲存不是完整的資料包，那麼這個值可能要比前面的資料包長度的值大。
a 32-bit value giving the actual length of the packet, in bytes (which may be greater than the previous number, if you are not saving the entire packet).

四：packet資料：

  即Packet（通常就是鏈路層的資料幀）具體內容，長度就是Caplen，這個長度的後面，就是當前PCAP檔案中存放的下一個Packet資料包，也就是說：PCAP檔案裡面並沒有規定捕獲的Packet資料包之間有什麼間隔字串，下一組資料在檔案中的起始位置。我們需要靠第一個Packet包確定。最後，Packet資料部分的格式其實就是標準的網路協議格式了可以任何網路教材上找得到。

五：舉例分析

圖中最開始的綠色部分就是24 Bytes的Pcap Header,接下來紅色的16 Bytes是第一個訊息的Pcap Header。後面的紅色的16 Bytes是第二個訊息的Pcap Header。兩塊藍色的部分分別是兩個訊息從鏈路層開始的完整內容。在網路上實際傳輸的資料包在資料鏈路層上每一個Packet開始都會有7個用於同步的位元組和一個用於標識該Packet開始的位元組，最後還會有四個CRC校驗位元組；而PCAP檔案中會把前8個位元組和最後4個校驗自己去掉，因為這些資訊對於協議分析是沒有用的。

用Wireshark開啟一個PCAP資料包，每條訊息的所有field會被解析出來並會按照協議層次摺疊起來。第一層顯示的是FrameXXX，這一級別沒有對應某層具體的協議，而是對本條訊息的一個概括性總結，描述了一些有用的概括性資訊，比如從裡面我們可以看到本條訊息各種協議的層次關係，展開其它協議層之後對應的是該協議的各個域，如下圖所示：

第二部分：PCAP檔案解析

Xplico 是一個從 pcap 檔案中解析出IP流量資料的工具，可解析每個郵箱 (POP, IMAP, 和 SMTP 協議), 所有 HTTP 內容, VoIP calls (SIP) 等等

2、 C語言實現PCAP檔案分析

實現步驟：
1）用Wireshark軟體抓包得到test.pcap檔案
2）程式：分析pcap檔案頭 -> 分析pcap_pkt頭 -> 分析幀頭 -> 分析ip頭 -> 分析tcp頭 -> 分析http資訊

#include<stdio.h>

#include<string.h>

#include<stdlib.h>

#include<netinet/in.h>

#include<time.h>

#define BUFSIZE 10240

#define STRSIZE 1024

typedef long bpf_int32;

typedef unsigned long bpf_u_int32;

typedef unsigned short  u_short;

typedef unsigned long u_int32;

typedef unsigned short u_int16;

typedef unsigned char u_int8;

//pacp檔案頭結構體

struct pcap_file_header

{

bpf_u_int32 magic;       /* 0xa1b2c3d4 */

u_short version_major;   /* magjor Version 2 */

u_short version_minor;   /* magjor Version 4 */

bpf_int32 thiszone;      /* gmt to local correction */

bpf_u_int32 sigfigs;     /* accuracy of timestamps */

bpf_u_int32 snaplen;     /* max length saved portion of each pkt */

bpf_u_int32 linktype;    /* data link type (LINKTYPE_*) */

};

//時間戳

struct time_val

{

long tv_sec;         /* seconds 含義同 time_t 物件的值 */

long tv_usec;        /* and microseconds */

};

//pcap資料包頭結構體

struct pcap_pkthdr

{

struct time_val ts;  /* time stamp */

bpf_u_int32 caplen; /* length of portion present */

bpf_u_int32 len;    /* length this packet (off wire) */

};

//資料幀頭

typedef struct FramHeader_t

{ //Pcap捕獲的資料幀頭

u_int8 DstMAC[6]; //目的MAC地址

u_int8 SrcMAC[6]; //源MAC地址

u_short FrameType;    //幀型別

} FramHeader_t;

//IP資料報頭

typedef struct IPHeader_t

{ //IP資料報頭

u_int8 Ver_HLen;       //版本+報頭長度

u_int8 TOS;            //服務型別

u_int16 TotalLen;       //總長度

u_int16 ID; //標識

u_int16 Flag_Segment;   //標誌+片偏移

u_int8 TTL;            //生存週期

u_int8 Protocol;       //協議型別

u_int16 Checksum;       //頭部校驗和

u_int32 SrcIP; //源IP地址

u_int32 DstIP; //目的IP地址

} IPHeader_t;

//TCP資料報頭

typedef struct TCPHeader_t

{ //TCP資料報頭

u_int16 SrcPort; //源埠

u_int16 DstPort; //目的埠

u_int32 SeqNO; //序號

u_int32 AckNO; //確認號

u_int8 HeaderLen; //資料報頭的長度(4 bit) + 保留(4 bit)

u_int8 Flags; //標識TCP不同的控制訊息

u_int16 Window; //視窗大小

u_int16 Checksum; //校驗和

u_int16 UrgentPointer;  //緊急指標

}TCPHeader_t;

//

void match_http(FILE *fp, char *head_str, char *tail_str, char *buf, int total_len); //查詢 http 資訊函式

//

int main()

{

struct pcap_file_header *file_header;

struct pcap_pkthdr *ptk_header;

IPHeader_t *ip_header;

TCPHeader_t *tcp_header;

FILE *fp, *output;

int   pkt_offset, i=0;

int ip_len, http_len, ip_proto;

int src_port, dst_port, tcp_flags;

char buf[BUFSIZE], my_time[STRSIZE];

char src_ip[STRSIZE], dst_ip[STRSIZE];

char  host[STRSIZE], uri[BUFSIZE];

//初始化

file_header = (struct pcap_file_header *)malloc(sizeof(struct pcap_file_header));

ptk_header  = (struct pcap_pkthdr *)malloc(sizeof(struct pcap_pkthdr));

ip_header = (IPHeader_t *)malloc(sizeof(IPHeader_t));

tcp_header = (TCPHeader_t *)malloc(sizeof(TCPHeader_t));

memset(buf, 0, sizeof(buf));

//

if((fp = fopen(“test.pcap”,”r”)) == NULL)

{

printf(“error: can not open pcap file\n”);

exit(0);

}

if((output = fopen(“output.txt”,”w+”)) == NULL)

{

printf(“error: can not open output file\n”);

exit(0);

}

//開始讀資料包

pkt_offset = 24; //pcap檔案頭結構 24個位元組

while(fseek(fp, pkt_offset, SEEK_SET) == 0) //遍歷資料包

{

i++;

//pcap_pkt_header 16 byte

if(fread(ptk_header, 16, 1, fp) != 1) //讀pcap資料包頭結構

{

printf(“\nread end of pcap file\n”);

break;

}

pkt_offset += 16 + ptk_header->caplen;   //下一個資料包的偏移值

strftime(my_time, sizeof(my_time), “%Y-%m-%d %T”, localtime(&(ptk_header->ts.tv_sec))); //獲取時間

// printf(“%d: %s\n”, i, my_time);

//資料幀頭 14位元組

fseek(fp, 14, SEEK_CUR); //忽略資料幀頭

//IP資料報頭 20位元組

if(fread(ip_header, sizeof(IPHeader_t), 1, fp) != 1)

{

printf(“%d: can not read ip_header\n”, i);

break;

}

inet_ntop(AF_INET, (void *)&(ip_header->SrcIP), src_ip, 16);

inet_ntop(AF_INET, (void *)&(ip_header->DstIP), dst_ip, 16);

ip_proto = ip_header->Protocol;

ip_len = ip_header->TotalLen; //IP資料報總長度

// printf(“%d:  src=%s\n”, i, src_ip);

if(ip_proto != 0×06) //判斷是否是 TCP 協議

{

continue;

}

//TCP頭 20位元組

if(fread(tcp_header, sizeof(TCPHeader_t), 1, fp) != 1)

{

printf(“%d: can not read ip_header\n”, i);

break;

}

src_port = ntohs(tcp_header->SrcPort);

dst_port = ntohs(tcp_header->DstPort);

tcp_flags = tcp_header->Flags;

// printf(“%d:  src=%x\n”, i, tcp_flags);

if(tcp_flags == 0×18) // (PSH, ACK) 3路握手成功後

{

if(dst_port == 80) // HTTP GET請求

{

http_len = ip_len – 40; //http 報文長度

match_http(fp, “Host: “, “\r\n”, host, http_len); //查詢 host 值

match_http(fp, “GET “, “HTTP”, uri, http_len); //查詢 uri 值

sprintf(buf, “%d:  %s  src=%s:%d  dst=%s:%d  %s%s\r\n”, i, my_time, src_ip, src_port, dst_ip, dst_port, host, uri);

//printf(“%s”, buf);

if(fwrite(buf, strlen(buf), 1, output) != 1)

{

printf(“output file can not write”);

break;

}

}

}

} // end while

fclose(fp);

fclose(output);

return 0;

}

//查詢 HTTP 資訊

void match_http(FILE *fp, char *head_str, char *tail_str, char *buf, int total_len)

{

int i;

int http_offset;

int head_len, tail_len, val_len;

char head_tmp[STRSIZE], tail_tmp[STRSIZE];

//初始化

memset(head_tmp, 0, sizeof(head_tmp));

memset(tail_tmp, 0, sizeof(tail_tmp));

head_len = strlen(head_str);

tail_len = strlen(tail_str);

//查詢 head_str

http_offset = ftell(fp); //記錄下HTTP報文初始檔案偏移

while((head_tmp[0] = fgetc(fp)) != EOF) //逐個位元組遍歷

{

if((ftell(fp) – http_offset) > total_len) //遍歷完成

{

sprintf(buf, “can not find %s \r\n”, head_str);

exit(0);

}

if(head_tmp[0] == *head_str) //匹配到第一個字元

{

for(i=1; i<head_len; i++) //匹配 head_str 的其他字元

{

head_tmp[i]=fgetc(fp);

if(head_tmp[i] != *(head_str+i))

break;

}

if(i == head_len) //匹配 head_str 成功，停止遍歷

break;

}

}

// printf(“head_tmp=%s \n”, head_tmp);

//查詢 tail_str

val_len = 0;

while((tail_tmp[0] = fgetc(fp)) != EOF) //遍歷

{

if((ftell(fp) – http_offset) > total_len) //遍歷完成

{

sprintf(buf, “can not find %s \r\n”, tail_str);

exit(0);

}

buf[val_len++] = tail_tmp[0]; //用buf 儲存 value 直到查詢到 tail_str

if(tail_tmp[0] == *tail_str) //匹配到第一個字元

{

for(i=1; i<tail_len; i++) //匹配 head_str 的其他字元

{

tail_tmp[i]=fgetc(fp);

if(tail_tmp[i] != *(tail_str+i))

break;

}

if(i == tail_len) //匹配 head_str 成功，停止遍歷

{

buf[val_len-1] = 0; //清除多餘的一個字元

break;

}

}

}

// printf(“val=%s\n”, buf);

fseek(fp, http_offset, SEEK_SET); //將檔案指標 回到初始偏移

}