个人中心
文章发布
退出
作者热门文章
- android - 多次调用 OnPrimaryClipChangedListener
- android - 无法更新 RecyclerView 中的 TextView 字段
- android.database.CursorIndexOutOfBoundsException : Index 0 requested, 光标大小为 0
- android - 使用 AppCompat 时,我们是否需要明确指定其 UI 组件(Spinner、EditText)颜色
25
4
我正在尝试用 C 解析一个 pcap 文件。我不想使用 libpcap。但出于某种原因,我无法做到。你知道我该怎么做吗?这是我的尝试:
fseek(f,24,0);
while(count<20)//reading 20 packets
{
fread(header,sizeof(struct pcap_pkthdr),1,f);
//after this I'm printing values header fields
fseek(f,ntohl(header->caplen),1);
count++;
}
输出与 libpcap 不同。
最佳答案
struct pcap_pkthdr 不是定义 pcap 文件中数据包 header 格式的结构;它是定义数据包 header 格式的结构,提供给使用 libpcap 或 WinPcap 的程序。
在 pcap 文件中定义包头格式的结构不是在任何 pcap 包含文件中,因为 libpcap/WinPcap 提供了读取这些头并根据需要将它们转换为 pcap_pkthdr header 。与 struct pcap_pkthdr 不同,pcap 文件中包头中的时间戳总是有一个 32 位“秒”字段和一个 32 位“微秒”字段,即使在 time_t 和 struct timeval 中的 tv_sec 值是 64 位。
即结构定义为
struct pcap_timeval {
bpf_int32 tv_sec; /* seconds */
bpf_int32 tv_usec; /* microseconds */
};
struct pcap_sf_pkthdr {
struct pcap_timeval ts; /* time stamp */
bpf_u_int32 caplen; /* length of portion present */
bpf_u_int32 len; /* length this packet (off wire) */
};
其中 struct pcap_sf_pkthdr 是文件中的结构。
另请注意,如果您从文件中读取struct pcap_sf_pkthdr,则必须对ts.tv_sec、ts.tv_usec 进行字节交换code>、caplen 和 len 如果 文件是在字节顺序与您正在读取的机器不同的机器上写入的文件。像 ntohl() 这样简单的东西将 NOT 工作 - 例如,如果您的文件是在与您正在读取它的机器相同的机器上编写的,没有字节-交换是必要的。
唯一的方法是读取文件头,而不是使用fseek() 跳过它。如果文件头中的“魔数(Magic Number)”的值为0xa1b2c3d4,则不需要进行任何字节交换;如果它的值为 0xd4c3b2a1,您将需要对文件头和 struct pcap_sf_pkthdr 中的值进行字节交换。请注意,ntohl() 和 htonl() 将 NOT 字节交换,如果您在大端计算机(如 PowerPC)上运行/Power Architecture 机器或 MIPS 机器或 IBM 大型机或......
另请注意,并非所有捕获文件都是 pcap 文件;如果它们是 pcap-NG 文件,则必须以完全不同的方式读取它们。 Libpcap 1.1 及更高版本知道如何读取 pcap-NG 文件(libpcap/WinPcap API 不够强大,无法处理所有 pcap-NG 文件,但它可以,例如,处理 pcap-NG 文件只有一个部分并且只有来自一个网络适配器的数据包,libpcap 1.1 及更高版本可以读取这些数据包)。正如 unwind 所建议的那样,我建议您使用 libpcap/WinPcap 来读取捕获文件,而不是编写自己的代码来执行此操作。
关于c - 代码中的一些错误 - libpcap,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/9276205/
25
4
0
我尝试理解[c代码 -> 汇编]代码 void node::Check( data & _data1, vector& _data2) { -> push ebp -> mov ebp,esp ->
我需要在当前表单(代码)的上下文中运行文本文件中的代码。其中一项要求是让代码创建新控件并将其添加到当前窗体。 例如,在Form1.cs中: using System.Windows.Forms; ..
我有此 C++ 代码并将其转换为 C# (.net Framework 4) 代码。有没有人给我一些关于 malloc、free 和 sprintf 方法的提示? int monate = ee; d
我的网络服务器代码有问题 #include #include #include #include #include #include #include int
给定以下 html 代码,将列表中的第三个元素(即“美丽”一词)以斜体显示的 CSS 代码是什么?当然,我可以给这个元素一个 id 或一个 class,但 html 代码必须保持不变。谢谢
关闭。这个问题不符合Stack Overflow guidelines .它目前不接受答案。 我们不允许提问寻求书籍、工具、软件库等的推荐。您可以编辑问题,以便用事实和引用来回答。 关闭 7 年前。
我试图制作一个宏来避免重复代码和注释。 我试过这个: #define GrowOnPage(any Page, any Component) Component.Width := Page.Surfa
我正在尝试将我的旧 C++ 代码“翻译”成头条新闻所暗示的 C# 代码。问题是我是 C# 中的新手,并不是所有的东西都像 C++ 中那样。在 C++ 中这些解决方案运行良好,但在 C# 中只是不能。我
在 Windows 10 上工作,R 语言的格式化程序似乎没有在 Visual Studio Code 中完成它的工作。我试过R support for Visual Studio Code和 R-T
我正在处理一些报告(计数),我必须获取不同参数的计数。非常简单但乏味。 一个参数的示例查询: qCountsEmployee = ( "select count(*) from %s wher
最近几天我尝试从 d00m 调试网络错误。我开始用尽想法/线索,我希望其他 SO 用户拥有可能有用的宝贵经验。我希望能够提供所有相关信息,但我个人无法控制服务器环境。 整个事情始于用户注意到我们应用程
我有一个 app.js 文件,其中包含如下 dojo amd 模式代码: require(["dojo/dom", ..], function(dom){ dom.byId('someId').i
我对“-gencode”语句中的“code=sm_X”选项有点困惑。 一个例子:NVCC 编译器选项有什么作用 -gencode arch=compute_13,code=sm_13 嵌入库中? 只有
我为我的表格使用 X-editable 框架。 但是我有一些问题。 $(document).ready(function() { $('.access').editable({
我一直在通过本教程学习 flask/python http://blog.miguelgrinberg.com/post/the-flask-mega-tutorial-part-i-hello-wo
我想将 Vim 和 EMACS 用于 CNC、G 代码和 M 代码。 Vim 或 EMACS 是否有任何语法或模式来处理这种类型的代码? 最佳答案 一些快速搜索使我找到了 this vim 和 thi
关闭。这个问题不符合Stack Overflow guidelines .它目前不接受答案。 想改进这个问题?更新问题,使其成为 on-topic对于堆栈溢出。 7年前关闭。 Improve this
这个问题在这里已经有了答案: Enabling markdown highlighting in Vim (5 个回答) 6年前关闭。 当我在 Vim 中编辑包含 Markdown 代码的 READM
我正在 Swift3 iOS 中开发视频应用程序。基本上我必须将视频 Assets 和音频与淡入淡出效果合并为一个并将其保存到 iPhone 画廊。为此,我使用以下方法: private func d
pipeline { agent any stages { stage('Build') { steps { e
我是一名优秀的程序员,十分优秀!