2
Wireshark에서 만든 ".pcapng"이진 파일이 있습니다.Wireshark 패키지 시작 식별
새 패키지가 시작될 때마다 어떻게 감지 할 수 있습니까?
특정 바이트 시퀀스가 있습니까?
다른 방법으로 패키지의 끝을 감지하는 방법은 무엇입니까?
A
답변
8
(나는 영어가 아닌 사람들이 "패킷"이 아닌 "패키지"라는 말을 보았습니다. 두 단어는 같은 단어 "팩"에서 왔으며 같은 단어가 두 개념 모두에 사용될 수 있습니다. 다른 언어 - 그래서 당신은 네트워크 패킷을 언급한다고 가정하고 있습니다. "패키지"는 일반적으로 영어로 사용되지 않습니다.)
PCAP Next Generation Dump File Format 문서에 pcap-NG 파일 형식이 설명되어 있습니다. pcap-NG 파일은 일련의 블록입니다. 각 블록은 시작 부분에 길이 필드를 가지고 있습니다 (그리고 결국 파일을 통해 뒤의 스캔을 단순화하기 위해). 모든 블록에 패킷이 들어있는 것은 아닙니다. 블록은 패킷 블록, 확장 패킷 블록 및 단순 패킷 블록입니다.
libpcap 1.1 이상에서는 pcap-NG 파일을 읽을 수 있으므로 libpcap을 동적으로 사용하고 libpcap 공유 라이브러리가 1.1 이상인 시스템에서 실행중인 경우 캡처 파일을 읽는 데 libpcap을 사용하는 모든 프로그램을 사용할 수 있습니다. libpcap 1.1 또는 이후 버전과 정적으로 링크 된 프로그램은 pcap 파일을 읽는 데 사용되는 것과 동일한 API를 사용하여 프로그램을 변경하지 않고 일부 pcap-NG 파일을 읽을 수 있습니다. (현재 libpcap API가 지원하지 않기 때문에, 모든 인터페이스 레이어가 동일한 링크 계층 헤더 유형 또는 스냅 샷 길이를 가지고 있지 않은 여러 인터페이스를 포함하는 pcap-NG 파일) libpcap 1.1을 기반으로하는 WinPcap 버전은 없습니다 WinPcap은 현재 pcap-NG 파일을 읽는 데 사용할 수 없습니다.
pcap-NG 파일을 읽을 수있는 또 다른 라이브러리는 NTAR 라이브러리입니다. 그러나 pcap-NG 파일 만 읽을 수 있으며 pcap 파일은 읽을 수 없습니다.