分享是一种快乐!
分类: 网络与安全
2014-04-07 21:10:30
假设txt格式的数据包为
如何对数据包进行分析?这里推荐一种方法,用wireshark查看。
第一步:首先用wireshark任意生成一个pcap格式的文件,这个文件是十六进制的文件,可以是十六进制的编辑器打开此文件,常用的编辑器是Uedit32。
第二步:在pcap文件中上面的添加数据包,在添加数据包之前要了解pcap的格式。
24byte+16byte+packet1+16byte+packet2+16byte+packet3........
具体可参考:http://blog.csdn.net/wqjsir/article/details/5729007
24byte是固定的,一个pcap文件只有开头有,16byte包括数据包的时间和截取数据包的长度,数据包的长度。
在原有pcap文件中添加数据的时候。需要另外添加16byte,这16byte可以从前面的直接复制过来,修改一下截取包长和数据包长度就可,然后附加上数据包即可。
第三步:用wireshark打开原有的pcap文件即可用查看数据包的组成。
如下图中第9个数据包就是在原有pcap文件中添加的数据包。
注:pcap是16进制文件,txt文件的数据不能直接复制到pcap文件,现在没有找到一种有效的方法,这中间需要一步转换,将txt文件转换成十六进制文件。
linux用16进制查看工具和命令参考:http://blog.csdn.net/chenglian_999/article/details/4672177