问题标签 [pcap]

我正在将 TCP/IP 数据包分解为字符串格式。构建和存储它的最佳方式是什么？我应该将它存储为 ctypes 结构、python 类、字典还是其他方式？每种方法的优缺点是什么？

我正在尝试编译一个在 OSX 上以统计模式使用 libpcap 的 C 程序。原始代码是使用 winpcap 库为 Windows 编写的。我 Mac 上的 libpcap 版本从未听说过它使用的pcap_setmode函数——我有一种讨厌的感觉，它可能是特定于 Windows 的。

有什么方法可以在 OSX 上以统计模式捕获？如果没有，操作系统的体系结构/功能是否会阻止这种情况，或者这是添加到 WinPcap 的额外功能，而这从来不是主库的功能？

假设有两个程序在计算机上运行（为简化起见，只有在 linux 上运行的用户程序）一个调用 recv()，另一个使用 pcap 来检测传入的数据包。一个数据包到达，它被使用 pcap 的程序和使用 recv 的程序检测到。但是，是否有任何情况（例如，recv() 在调用 pcap_next() 之间返回）这两个中的一个不会得到数据包？

我真的不明白这里的缓冲系统是如何工作的，所以解释越详细越好 - 是否有任何可以想象的情况，其中一个程序会看到另一个没有的数据包？如果是这样，它是什么，我该如何预防？

做

从 libpcap 将整个 pcap 文件读入内存？如果不是这样，我必须使用 tcpslice 或类似的工具来拆分 pcap 文件吗？

谢谢。

在不使用 libpcap 的情况下，我试图编写一个符合 pcap 文件格式（format）的日志文件。这个文件需要被 WireShark 读取。到目前为止，我已经用 C++ 编写了这个：

所以这应该是一个空白的捕获文件，但是当我在 Wireshark 中打开它时，我会看到：

文件“hello.pcap”似乎在数据包或其他数据的中间被缩短了。

我试过以二进制模式打开输出文件，但这没有帮助。我会在 WireShark 论坛上发布这个，但我认为这是用户错误，而不是 WireShark 的问题。

帮助将不胜感激。

我正在尝试对我拥有的 pcap 文件中的数据包进行匿名处理。我需要丢弃所有数据包的有效负载/内容（仅保留标头信息），并且想知道是否有一个工具可以用于此（在 Linux 上）？我曾考虑过使用 tcpdump 并指定 snaplen，但随着标头长度的变化，我认为这不会奏效。

如果没有一个工具可以做到这一点，那么最好（最简单）的编码库也可以工作。我宁愿不走那条路，因为我几乎没有网络编程经验。

任何帮助深表感谢。

这是我的代码：

我用它来安装 pcap : sudo apt-get install python-libpcap，它安装了，

但是当我运行代码时，它显示错误：

我能做些什么 ，

谢谢

我使用以下脚本（python + scapy）创建包含碎片 UDP 数据包的 pcap 文件的碎片整理版本。

我的问题是碎片整理数据包的 pcap 时间戳设置为碎片整理日期，而不是捕获日期。非分段数据包仍具有其原始捕获时间戳。

我查看了 inet.py、defragment() 和 defrag()，但我对 scapy 不是很流利，我想帮助理解它并破解它以保持最后的日期片段，并将其放入碎片整理的数据包中...

有人可以帮助我吗，有什么提示吗？
比如，我在哪里可以找到输入数据包中的捕获日期，我应该把它放在碎片整理的数据包中的哪里......

当然，任何其他达到相同目标的解决方案都是受欢迎的（我承认......我很着急：（......）

我在使用 ruby​​ 1.9.2 安装 pcap gem 时遇到问题......它适用于 1.8.7。有谁知道发生了什么？

有哪些用于进行 TCP 重组的好库？我有一些 pcap 文件（太大而无法使用 wireshark 处理），我想做 TCP 重组。libnids 的开发似乎已经停止。我想知道是否有人可以给