Chinaunix首页 | 论坛 | 博客

道不远人

首页 |  博文目录 |  关于我

ssddyb

  • 博客访问: 158927
  • 博文数量: 56
  • 博客积分: 2510
  • 博客等级: 少校
  • 技术积分: 502
  • 用 户 组: 普通用户
  • 注册时间: 2009-12-18 14:21
文章分类

全部博文(56)

文章存档

2010年(39)

2009年(17)

我的朋友
最近访客
推荐博文
相关博文
cap格式简单分析

分类: 系统运维

2009-12-18 14:56:32

分析一、
文件头部   : D4 C3 B2 A1 02 00 04 00 00 00 00 00 00 00 00 00
              FF FF 00 00 01 00 00 00
数据包头部1: 3B B7 0F 4B 25 52 01 00 A2 00 00 00 A2 00 00 00
数据       : 00 0F FE 0A ...67 F2 95 长度:0xA2 = 162
数据包头部2: 3B B7 0F 4B 4D 06 04 00 A2 00 00 00 A2 00 00 00
数据       : 00 1E ... 长度:0xA2 = 162
 
分析二、
文件头部
        标识        版本(guess)
        D4 C3 B2 A1 02 00 04 00 00 00 00 00 00 00 00 00
        FF FF 00 00 01 00 00 00
                                理论长度    实际长度
头部1: BD 77 10 4B 11 AB 01 00 3C 00 00 00 3C 00 00 00
数据 : 00 1D ...
 
 
 
Eth协议:
6字节目的      6字节源地址       2字节协议类型
00 1E 90 EB BA 00 0F FE 0A D2 C8 08 00
 
协议类型:
IP --- 0x08 00
 
 
IP协议:
长度 通常为20字节,例外由首4位确定
载荷类型的位置:第10字节
UDP 17 0x11
TCP  6 0x06
ICMP 1 0x01
 
typedef struct ip_hdr                //定义IP首部
{
    unsigned char    h_verlen;        //4位IP版本号,4位首部长度
    unsigned char    tos;            //8位服务类型TOS
    unsigned short    total_len;        //16位总长度(字节)
    unsigned short    ident;            //16位标识
    unsigned short    frag_and_flags;    //3位标志位
    unsigned char    ttl;            //8位生存时间 TTL
    unsigned char    proto;            //8位协议 (TCP, UDP 或其他)
    unsigned short    checksum;        //16位IP首部校验和
    unsigned int    sourceIP;        //32位源IP地址
    unsigned int    destIP;            //32位目的IP地址
}IP_HEADER, *PIP_HEADER;
 
UDP 协议:
8个字节
源端口 2 目的端口2 长度2 校验2
 
TCP协议:
长度:20
typedef struct tcp_hdr                //定义TCP首部
{
    unsigned short    th_sport;        //16位源端口
    unsigned short    th_dport;        //16位目的端口
    unsigned int    th_seq;            //32位序列号
    unsigned int    th_ack;            //32位确认号
    unsigned char    th_lenres;        //4位首部长度/6位保留字
    unsigned char    th_flags;        //6位标志位
    unsigned short    th_win;            //16位窗口大小
    unsigned short    th_sum;            //16位校验和
    unsigned short    th_urp;            //16位紧急数据偏移量
}TCP_HEADER, *PTCP_HEADER;
 
常见端口:
53 domain(DNS)
80 http协议
1863 msnp协议
 
 
RTP协议分析:
RTP 固定头中的各字段
RTP 头有以下格式 :
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|V=2|P|X| CC  |M|     PT      | sequence number               |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|                        timestamp                            |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| synchronization source (SSRC) identifier                    |
+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
| contributing source (CSRC) identifiers                      |
| ....                                                        |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
阅读(3877) | 评论(0) | 转发(0) |
0

上一篇:UDP简单封装

下一篇:MP4音频解码信息

给主人留下些什么吧!~~
关于我们 | 关于IT168 | 联系方式 | 广告合作 | 法律声明 | 免费注册

Copyright 2001-2010 ChinaUnix.net All Rights Reserved 北京皓辰网域网络信息技术有限公司. 版权所有

感谢所有关心和支持过ChinaUnix的朋友们

16024965号-6