CAP檔案格式
1、檔案頭
00000000h: 58 43 50 00 30 30 32 2E 30 30 32 00 98 5E 29 45 ; XCP.002.002 00000010h: F0 49 02 00 2D 37 3D 02 80 00 00 00 2D 37 3D 02 ; 00000020h: 00 00 00 00 00 00 00 00 2D 37 3D 02 00 00 00 00 ; 00000030h: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ; 00000040h: 00 00 00 00 00 00 00 00 14 00 04 00 99 9E 36 00 ; 00000050h: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ; 00000060h: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ; 00000070h: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ; |
檔案類型標識 00-02 3位元組, 為XCP
版本號碼: 04-0A 7位元組
開始抓包時間 0C-0F 4位元組 time_t類型的值
與包數有關的值 10-13 4位元組 代表意義不詳
與包總長度有關的值 該值重複儲存三次 代表意義不詳
說明:檔案頭長128位元組,資料域從128位元組後開始。
2、資料區段
00000080h: 18 2F 00 00 00 00 00 00 3C 00 3C 00 00 00 00 00 00000090h: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 000000a0h: 00 00 00 00 00 00 00 00 FF FF FF FF FF FF 00 40 000000b0h: 9E 00 6A FE 08 06 00 01 08 00 06 04 00 01 00 40 000000c0h: 9E 00 6A FE 0A 02 10 0F 00 00 00 00 00 00 0A 02 000000d0h: 10 10 00 00 00 00 00 00 00 00 00 00 00 00 00 00 000000e0h: 00 00 00 00 |
微秒數 4位元組 從檔案頭的開始抓包時間開始的微秒數 1微秒=1/1,000,000秒
資料域的長度 2位元組 連續重複兩次
目的網卡物理地址 6位元組
源網卡物理地址 6位元組
INTERNET協議標識 2位元組 0806為ARP協議, 0800為IP協議
資料域
說明:
·每個資料區段分頭和資料域部分,頭長度固定為40位元組
·資料域的長度表示的是從網卡目的物理地址開始到一個資料區段的位元組數