macos - tcpdump PCAP 文件格式负载字节

Question

最近我决定仔细研究 tcpdump 文件格式(即 pcap)的负载字节，我意识到它们没有意义。这些是在 OS/X 上收集的。

它们绝对总是以 00 00 开头。

有效载荷长度通常在 39 字节、310 字节、1500 字节左右。

查看字节，它们通常以 00 00 19 00 6f 08 00 00 或 00 00 24 00 0b 00 0c 00 开头。

它们似乎不是以以太网帧、IP 前导码、UDP header 、TCP header 或任何其他预期数据开头。当我在数据中搜索我的 IPv4 MAC 地址时，我经常会找到它，但并非总是如此。与 IPv6 地址相同。当我在数据中搜索我的 IP 地址时，情况相同。

许多数据包似乎涉及搜索或获取有关其他 Wifi 网络的信息。

其中大部分似乎是识别我周围的(许多)Wifi 路由器的操作，但我不知道该数据的格式。

谁能指出有效负载字节的技术解释？谢谢。

我还应该补充一点，tcpdump 本身无法读取这些在 OS/X 上生成的 pcap 文件。生成它们的命令是

 /usr/sbin/tcpdump -s 0 -w output.pcap -vv -In -i en1

其他人推荐的以下命令无法正确转储它们:

 tcpdump -qns 0 -X -r output.pcap | less

事实上，它生成的行提到“tsft 1.0 Mb/s 2452 MHz 11g -78dB 信号 -91dB 噪声天线 0 信标”。

Answer 1

In fact it generates lines that mention "tsft 1.0 Mb/s 2452 MHz 11g -78dB signal -91dB noise antenna 0 Beacon".

这有什么问题？它正在解剖 radiotap标题完全按照它应该的方式显示。

您使用 -I 标志捕获，这意味着您是在监控模式下捕获的。默认情况下，在 OS X 上(在大多数情况下在 Linux 和 *BSD 上)，它使用 radiotap header 进行捕获，提供 radio 层元数据。

pcap 文件在文件头中有一个“linktype”值；对于捕获流量的每个网络接口(interface)，pcap-ng 文件在每个接口(interface)描述 block 中都有一个“linktype”值。这些值在 link-layer header types 中进行了描述tcpdump.org 网站的页面。您捕获的链路层 header 类型值可能为 127，即 LINKTYPE_IEEE802_11_RADIOTAP，数据包以 radiotap header 开头，后跟 802.11 帧。

They absolutely always begin with 00 00.

就是radiotap头的it_version字段，后面是it_pad字段；当前存在的唯一版本的 radiotap header 是版本 0，并且填充字段几乎总是即使不总是设置为 0(其值无关紧要)。

Looking at the bytes, they often begin with 00 00 19 00 6f 08 00 00, or with 00 00 24 00 0b 00 0c 00.

19 00和24 00是两个字节的it_len字段；它是小尾数法，所以 19 00 是 0x0019，即 25，而 24 00 是 0x0024，即 36。(19 00 有点可疑，因为它不是 4 的倍数。)这是 radiotap header 的长度。