pcap文件头

用python代码表达结构如下，I是32位无符号数，下面的定义均采用32位方式# bpf_u_int32 magic; 固定为0xA1B2C3D4，表示pcap包文件

# u_short version_major; 主版本号

# u_short version_minor; 分支版本号

# bpf_int32 thiszone; 时区

# bpf_u_int32 sigfigs;

# bpf_u_int32 snaplen; 每个包的最大长度

# bpf_u_int32 linktype; 链路层协议族

self.struct_pcap_file_header = '!I2H4I'

pcap每个包的头# struct timeval ts;

# bpf_u_int32 caplen;

# bpf_u_int32 len;

self.struct_pcap_pkthdr = '!4I'timeval是c的时间戳结构体，前面一个整型数是秒数偏置，后面一个整型数是微秒偏置，详情可以查阅相关文档

生成pcap文件

使用python简单生成，写入到test.pcap文件，写入了两个包到该文件，linktype设置为162，在wireshark源码中表示保留给用户的USER15 类型# -*-coding:utf-8-*-

"""

Author：yinshunyao

Date:2017/3/24 0024上午 10:47

"""

import unittest

import struct

class PacpTest(unittest.TestCase):

def setUp(self):

# pcap文件头格式

# http://www.winpcap.org/docs/docs_412/html/structpcap__file__header.html

# bpf_u_int32 magic; 固定为0xA1B2C3D4，表示pcap包文件

# u_short version_major; 主版本号

# u_short version_minor; 分支版本号

# bpf_int32 thiszone; 时区

# bpf_u_int32 sigfigs;

# bpf_u_int32 snaplen; 每个包的最大长度

# bpf_u_int32 linktype; 链路层协议族

self.struct_pcap_file_header = '!I2H4I'

# pcap包头格式

# http://www.winpcap.org/docs/docs_412/html/structpcap__pkthdr.html

# struct timeval ts;

# bpf_u_int32 caplen;

# bpf_u_int32 len;

self.struct_pcap_pkthdr = '!4I'

# 文件头

self.file_header = struct.pack(

self.struct_pcap_file_header,

0xA1B2C3D4, 4, 1, 0, 0, 0xFFFF, 162 # USER15

)

def test_generate_pcap(self):

# 消息体内容

pkg_content1 = struct.pack('!2I', 100, 101)

pkg_content2 = struct.pack('!2I', 101, 100)

#

pkg_header = struct.pack(

self.struct_pcap_pkthdr, 0x4A5B1784, 0x00081C6D,

len(pkg_content1), len(pkg_content1)

)

with open('test.pcap', 'wb') as test:

test.write(self.file_header+pkg_header+pkg_content1+pkg_header+pkg_content2)

wireshark解析效果

用自定义的wireshark插件协议解析整体效果如下，后面具体介绍插件内容，可以看到Encapsulation type字段值是60，协议是USER15

这个值跟前面文件头里面的link162的映射关系，在wireshark中完成，具体处理可以查看wireshark的C源码。

协议名称和消息体解析，需要捕获这个数据流在自定义的协议插件中处理，下一章会提到。

两个包的时间戳一样，是因为前面写入文件的包头是一样的。

wireshark lu解析脚本

local serial_encap_table = DissectorTable.get("wtap_encap")

--截取所有的bsap协议

--USER0~USER15是45到60，可以自定义解析，参见源码wtap.h

serial_encap_table:add(60, p_bsap)

上面两行代码，截取type为60的文件和包进行解析。p_bsap是自定义的解析插件，详细的使用方法和语言基础参见wireshark的官方文档lu部分

do

--协议名称是BSAP， 在Packet Details窗格显示为

local p_bsap = Proto("bsap2","Bristol Standard Asynchronous Protocol")

--头协议各个字段含义，需要放到此处注册

local f_src = ProtoField.uint32("bsap2.src","Source", base.DEC)

local f_des = ProtoField.uint32("bsap2.des","Destination", base.DEC)

p_bsap.fields = {f_src, f_des}

--指纹信息协议

local p_finger = Proto("BSAP_FR", "BSAP Device Information")

--获取数据

local data = Dissector.get("data")

local device = {}

local offset = 0

--数据分析函数

local function bsap_dissector(buf,pkg,root)

local buf_len = buf:len()

-- 协议信息展示a

pkg.cols.protocol = "BSAP2"

--添加头

local header = root:add(p_bsap, buf)

header:add(f_src, buf(0,4))

header:add(f_des, buf(4,4))

device = {['Source']=buf(0,4):uint()}

pkg.cols.info = "Message: src is "..tostring(device['Source'])

offset = buf_len

return true

end

--解析函数，注意，该function前面不能添加local

function p_bsap.dissector(buf,pkg,root)

--如果解析符合本协议

if bsap_dissector(buf,pkg,root) then

--有效的协议，未处理完的字段调用其他协议继续解析

local buf_len = buf:len()

if offset + 1 < buf_len then

data:call(buf(offset, buf_len-offset), pkg, root)

end

--如果解析不符合本协议，返回给主程序继续遍历其他协议

else

data:call(buf,pkg,root)

end

end

local serial_encap_table = DissectorTable.get("wtap_encap")

--截取所有的bsap协议

--USER0~USER15是45到60，可以自定义解析，参见源码wtap.h

serial_encap_table:add(60, p_bsap)

end