pcap 파일의 원시 바이트에서 라디오 태그 데이터의 존재 여부를 어떻게 감지 할 수 있습니까? libpcap을 사용하지 않고 직접 페이로드를 검사합니다. 이 기능이 포함 된 tcpdump로 새 파일을 만들 수 있지만이 기능이 있거나 없을 수있는 파일이있는 경우 원시 바이트가 포함되는지 여부를 확인할 수 없습니다. 유일한 문제는 pcap 데이터에서 incl_len과 orig_len의 바이트 수 차이를 찾고 있다는 것입니다.pcap : 라디오 태그 헤더의 존재 여부 검사
pcap 파일 헤더에서 링크 계층 헤더 유형을 확인합니다. 127 인 경우 라디오 헤드 헤더와 802.11 헤더가 있습니다.
pcap 파일 헤더 (및 pcap-ng 파일의 인터페이스 설명 블록에있는 링크 계층 헤더 유형)의 링크 계층 헤더 유형은 the tcpdump.org list of link-layer header type values에 제공된 값 중 하나의 값을 갖습니다.
데이터 링크 유형은 pcap 파일 헤더에 포함됩니다. WireShark Doc에서
, 당신은 21 ~ 24
다음typedef struct pcap_hdr_s {
guint32 magic_number; /* magic number */
guint16 version_major; /* major version number */
guint16 version_minor; /* minor version number */
gint32 thiszone; /* GMT to local correction */
guint32 sigfigs; /* accuracy of timestamps */
guint32 snaplen; /* max length of captured packets, in octets */
guint32 network; /* data link type */
} pcap_hdr_t;
가있는 동안 라디오 탭 헤더
0xd4 0xc3 0xb2 0xa1
0x02 0x00 0x04 0x00
0x00 0x00 0x00 0x00
0x00 0x00 0x00 0x00
0xff 0xff 0x00 0x00
0x7f 0x00 0x00 0x00 --> 0x7f = 127 = LINKTYPE_IEEE802_11_RADIOTAP
0x0d 0x06 0x5c 0x4a
0xee 0x1a 0x02 0x00
0xac 0x00 0x00 0x00
0xac 0x00 0x00 0x00
와 PCAP 파일 헤더의 예 데이터 링크 유형 바이트에서 발견되는 것을 볼 수 아래 다른 예에서는 다른 링크 레이어 유형이 있습니다.
0xd4 0xc3 0xb2 0xa1
0x02 0x00 0x04 0x00
0x00 0x00 0x00 0x00
0x00 0x00 0x00 0x00
0xff 0xff 0x00 0x00
0x69 0x00 0x00 0x00 --> 0x69 = 105 = LINKTYPE_IEEE802_11
0x3a 0xcb 0x38 0x56
0xc5 0x73 0x00 0x00
0xd4 0x00 0x00 0x00
0xd4 0x00 0x00 0x00
Keep 우리의 엔디안의 물론 트랙 :