报文存储格式
PCAPNG 介绍
编写:
版本:V1.0
日期:2015.5.4
PCAPNG是一种对PCAP报文存储格式增强设计的新型报文存储格式,引入了存储数据类型块的概念,主要特点:
(1)可扩展性:允许嵌入私有扩展信息,即使无法识别这些信息的工具也能够正确处理文件中其他可识别信息。
(2)可移植性:文件独立包含用于阅读报文的必要信息,如网络、硬件和操作系统等。
(3)追加数据:已有文件允许追加新的数据,追加后文件依然可读。
1文件结构 (1)
1.1通用块结构 (1)
1.2块类型 (1)
1.3逻辑块层次 (2)
1.4物理文件布局 (3)
1.5选项 (3)
1.6数据格式 (4)
1.6.1字节序 (4)
1.6.2对齐 (5)
2块定义 (1)
2.1分节块(强制) (1)
2.2接口描述块(强制) (2)
2.3增强报文块 (4)
2.4简单报文块 (5)
2.5报文块(废弃) (6)
2.6名称解析块 (8)
2.7接口统计块 (9)
3试验性质的块类型 (10)
3.1替代性报文块 (10)
3.2压缩块 (10)
3.3加密块 (10)
3.4定长块 (11)
3.5目录块 (12)
3.6流量统计和监视块 (12)
3.7事件/安全块 (12)
4推荐扩展名:.pcapng (12)
附录A 报文块特征字 (1)
附录B 块类型代码 (1)
附录C 链路类型代码 (1)
附录D 链路层头定义 (4)
1文件结构
1.1通用块结构
文件由多个块顺序组成。所有块都遵循一个基本块结构格式。
图1-1基本块结构
如上图1-1所示基本块结构格式,各部分定义如下:
(1)Block Type:块类型,32位,最高位为1用于私有定义。块类型定义详见附录B。
(2)Block Total Length:块总长度,32位,包括从块类型开始到块结束的所有字节数。
(3)Block Body:块数据,可变长度,32位对齐。
(4)Block Total Length:块总长度,32位,是前面块总长度的重复,以便可以此向前访问文件数据。
所有类型块遵循公共格式,以便文件处理时跳过不必要的或者无法识别的块。
有些块可以包含其他块,即块嵌套。
有些块是必须的,如这些块不存在则文件无效。
允许扩展定义其他块,无法识别这些块的处理工具可以忽略跳过。
1.2块类型
已经定义的块类型见附录B。
块类型主要有以下4类:
(1)强制块,每个文件必须至少包含一个(每个类型):
1)分节块(SHB):记录报文文件分节的特征信息
2)接口描述块(IDB):记录捕获接口的统计信息等。
(2)可选块:
1)增强报文块(EPB):包含一个捕获数据包或部分。附加更多的信息。
2)简单报文块(SPB):包含一个捕获数据包或部分,最小化信息。
通常用于对性能或空间要求高的场合。
3)名称解析块(NRB):定义了数据包数字地址和规范名称的对应关系。
4)接口统计块(ISB):定义了一些统计数据(如丢包)。
(3)废弃块:
1)报文块:包含一个捕获数据包或部分。已经废弃,建议用增强的报文块结构。
(4)试验性的块:
1)替代性报文块
2)压缩块
3)加密块
4)定长块
5)目录块
6)流量统计和监控模块
7)事件/安全块
1.3逻辑块层次
字符串长度统计工具图1-2 逻辑块层次
逻辑块层次如上图1-2所示,用于不同块间相互引用。如,每个数据包对应一个捕获接口,该捕获接口同时对应一个特定的节。
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论