gpt4 book ai didi

c# - 带有 WinPcap 4.1.3 的 SharpPcap 4.2 给出 "Unable to open offline adapter: bad dump file format"

转载 作者:太空宇宙 更新时间:2023-11-03 10:38:34 32 4
gpt4 key购买 nike

我正在尝试在 FreeBSD 9.2 上读取使用 TShark 1.10.6 和 libpcap 版本 1.4.0 创建的 pcap 文件,并在 Windows 7 上使用 Visual Studio 中的 c#、SharpPcap 4.2、PacketDotNet 0.13 和 WinPcap 执行此操作4.1.3.

引发的异常是无法打开脱机适配器:转储文件格式错误,它发生在例程 CaptureFileReaderDevice 的行:

IntPtr adapterHandle = LibPcapSafeNativeMethods.pcap_open_offline( captureFilename, errbuf);

有趣的是,同一系统上的 Wireshark 版本 1.10.3 也使用相同版本的 WinPcap,能够打开该文件!

什么会导致 SharpPcap 无法打开此文件?

编辑#1:

我更仔细地查看了 WireShark 的版本信息,显然它使用的是 AirPcap 支持的 WinPcap 版本。我相信 SharpPcap 包括 AirPcap,所以我想知道这是否会有所不同。

Running on 64-bit Windows 7 Service Pack 1, build 7601, with WinPcap version 4.1.3 (packet.dll version 4.1.0.2980), based on libpcap version 1.0 branch 1_0_rel0b (20091008), GnuTLS 2.12.18, Gcrypt 1.4.6, without AirPcap.

此外,我正在为 32 位输出进行编译。

编辑#2:

对 pcap 使用 WireShark 的统计/摘要,它显示有关捕获的以下信息:

  • 操作系统:FreeBSD 9.2-RELEASE-p10
  • 捕获应用程序:Dumpcap 1.10.6(Git Rev Unknown from unknown)

最佳答案

简短的回答 是原始服务器正在生成 pcap-ng 捕获文件,而 WinPcap 当前不支持该格式,因此 SharpPcap 无法打开这些文件。但是,当前版本的 Wireshark 支持 pcap-ng 捕获文件。

血淋淋的细节是什么让我得出了这个答案:

我找到了 Libpcap File Format在 Wireshark 文档中,根据全局 header 部分,我有一个转储文件,其中包含魔数(Magic Number) 0x4d3c2b1a(在我的 Windows 7 系统上显示)。

文档说:

For nanosecond-resolution files, the writing application writes 0xa1b23c4d, with the two nibbles of the two lower-order bytes swapped, and the reading application will read either 0xa1b23c4d (identical) or 0x4d3cb2a1 (swapped).

这些都不匹配这个魔数(Magic Number),所以我在原始 FreeBSD 系统上为 pcap 文件运行 file 命令,它报告:

em0.pcap: pcap-ng capture file - version 1.0

所以我查看了该服务器上的 /usr/share/misc/magic 并找到了 pcap-ng 条目:

#
# "pcap-ng" capture files.
# http://www.winpcap.org/ntar/draft/PCAP-DumpFileFormat.html
# Pcap-ng files can contain multiple sections. Printing the endianness,
# snaplen, or other information from the first SHB may be misleading.
#
0 ubelong 0x0a0d0d0a
>8 ubelong 0x1a2b3c4d pcap-ng capture file
>>12 beshort x - version %d
>>14 beshort x \b.%d
0 ulelong 0x0a0d0d0a
>8 ulelong 0x1a2b3c4d pcap-ng capture file
>>12 leshort x - version %d
>>14 leshort x \b.%d

这让我找到了 PCAP Dump File Format (请参阅节标题 block 说明)。

并且 pcap 文件的 hexdump 显示:

0000000 0d0a 0a0d 0070 0000 3c4d 1a2b 0001 0000
0000010 ffff ffff ffff ffff 0003 0017 7246 6565
0000020 5342 2044 2e39 2d32 4552 454c 5341 2d45

证实:

  1. 这确实是一个下一代 pcap 文件——因为 block 头以 Block Type = 0x0A0D0D0A(显示为 0d0a 0a0d)开头,并且
  2. header 包含 pcap-ng 魔数(Magic Number) 0x1a2b3c4d(显示为 3c4d 1a2b)。

关于c# - 带有 WinPcap 4.1.3 的 SharpPcap 4.2 给出 "Unable to open offline adapter: bad dump file format",我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/26477301/

32 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com