私は Pcapng ファイルが初めてです。私は 40 ページ以上のホワイトペーパーを読みましたが、まだ頭をかきむしり、汗を流しています。Pcapng ファイルは次のとおりであることを理解しています。
- セクション ヘッダー ブロックで構成される - これはすべての Pcapng ファイルの始まりです。
質問 1:これはどのくらいの大きさですか?
BlockType (4 バイト) + BlockTotalLength (4 バイト) + Byte Order Magic (4 バイト) + Mahor および Minor Version (合計 4 バイト、各 2 バイト) + Section Length (4 バイト) + Options (変数) +ブロックの全長 (これも 4 バイト)。
パーサーを構築している場合、最初のデータ フレーム ブロックに到達するためにスキップする必要があるバイト数をどのように知ることができますか?
質問 2:データはどこに保存されますか? データとは、下の図 (図 1) に示すように、イーサネット、IP、および TCP データを含むフレーム全体を意味します。
ドキュメントには次のように記載されています。
セクションには、2 つのセクション ヘッダー ブロックで区切られたデータが含まれます。
手動検査を行ったとき (はい、2 つのフレーム間に何バイトあるかを確認するためにファイルを 1 バイトずつ調べました :'( )、各メッセージ間に 35 バイトあることに気付きました (wireshark に表示される各メッセージには 35 バイトがありました)これらのバイトは pcapng ブロックに関連していますか?
最初の tcp フレームに到達する方法と、次のフレームに到達するためにスキップする必要があるバイト数を理解したら、パーサーを構築できます。
これらの pcapng メッセージを最もよく解析する方法を理解するのを手伝ってくれる人に、ビットコイン/モネロを送ります。ありがとう!