Chinaunix首页 | 论坛 | 博客
  • 博客访问: 116843
  • 博文数量: 26
  • 博客积分: 10
  • 博客等级: 民兵
  • 技术积分: 122
  • 用 户 组: 普通用户
  • 注册时间: 2012-10-11 10:02
个人简介

分享是一种快乐!

文章分类

全部博文(26)

文章存档

2014年(11)

2013年(15)

我的朋友

分类: 网络与安全

2014-04-07 21:10:30

  假设txt格式的数据包为

如何对数据包进行分析?这里推荐一种方法,用wireshark查看。

第一步:首先用wireshark任意生成一个pcap格式的文件,这个文件是十六进制的文件,可以是十六进制的编辑器打开此文件,常用的编辑器是Uedit32。

第二步:在pcap文件中上面的添加数据包,在添加数据包之前要了解pcap的格式。
24byte+16byte+packet1+16byte+packet2+16byte+packet3........
具体可参考:http://blog.csdn.net/wqjsir/article/details/5729007
24byte是固定的,一个pcap文件只有开头有,16byte包括数据包的时间和截取数据包的长度,数据包的长度。
在原有pcap文件中添加数据的时候。需要另外添加16byte,这16byte可以从前面的直接复制过来,修改一下截取包长和数据包长度就可,然后附加上数据包即可。

第三步:用wireshark打开原有的pcap文件即可用查看数据包的组成。
如下图中第9个数据包就是在原有pcap文件中添加的数据包。


注:pcap是16进制文件,txt文件的数据不能直接复制到pcap文件,现在没有找到一种有效的方法,这中间需要一步转换,将txt文件转换成十六进制文件。
linux用16进制查看工具和命令参考:http://blog.csdn.net/chenglian_999/article/details/4672177

阅读(5751) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~