Wireshark によって作成された「.pcapng」バイナリ ファイルがあります。
その中のすべての新しいパッケージの始まりを検出する方法は?
特定のバイト シーケンスはありますか?
または、パッケージの終わりを検出する方法は?
1 に答える
8
(母国語が英語ではない人が「パケット」ではなく「パッケージ」について話しているのを見たことがあります。両方の単語は同じ「パック」という単語から来ており、同じ単語が他の言語の両方の概念に使用されている可能性があります。ネットワーク パケットについて言及していると思いますが、「パッケージ」は通常、英語ではその意味で使用されません。)
pcap-NG ファイル形式は、PCAP Next Generation Dump File Formatドキュメントで説明されています。pcap-NG ファイルは一連のブロックです。各ブロックには、先頭 (および最後に、ファイルを逆方向にスキャンしやすくするため) に長さフィールドがあります。すべてのブロックにパケットが含まれているわけではありません。これを行うブロックは、パケット ブロック、拡張パケット ブロック、および単純パケット ブロックです。
libpcap 1.1 以降は pcap-NG ファイルを読み取ることができるため、libpcap を使用してキャプチャ ファイルを読み取るすべてのプログラムは、libpcap で動的にライクされ、libpcap 共有ライブラリが 1.1 以降であるシステム上で実行されている場合、または libpcap と静的にリンクされている場合、可能であることに注意してください。 1.1 以降では、プログラムを変更することなく、pcap ファイルの読み取りに使用されるのと同じ API を使用して、一部の pcap-NG ファイルを読み取ることができます。(現在の libpcap API がサポートしていないため、それらのすべてが同じリンク層ヘッダー タイプまたはスナップショット長を持っているわけではない複数のインターフェイスを含む pcap-NG ファイルは読み取ることができません。) libpcap 1.1 に基づく WinPcap のバージョンはありません。そのため、現在 WinPcap を使用して pcap-NG ファイルを読み取ることはできません。
pcap-NG ファイルを読み取ることができる別のライブラリは、NTARライブラリです。ただし、pcap ファイルではなく、pcap-NG ファイルのみを読み取ることができます。
于 2012-09-13T21:45:10.020 に答える