¿alguien sabe cómo es el formato de los ficheros .cap que genera airodump?

Iniciado por Glezo, 11 Junio 2010, 17:52 PM

0 Miembros y 1 Visitante están viendo este tema.

boentes

Mucha habladuria y nadie dio una respuesta Aqui está el formato del Fichero

Saludos


Libpcap Formato de archivo

El formato de archivo es el formato libpcap captura de archivos más utilizado en tcpdump / WinDump, Wireshark / TShark, snort, y muchas otras herramientas de redes.

Tabla de Contenidos

    Libpcap Formato de archivo
        Visión de conjunto
        Formato de archivo
            Encabezado Global
            Record (paquetes) Encabezado
            Paquetes de Datos
        Bibliotecas
        Inconvenientes
        Futuro
        Discusión

Visión de conjunto

Este formato de archivo es un formato muy básico para guardar datos capturados de la red. A medida que la biblioteca libpcap se convirtió en el "de facto" estándar de red capturar en UN * X, se convirtió en el "denominador común" para los archivos de captura de la red en el mundo del código abierto (parece que hay tal cosa como un "denominador común" en la red comercial mundial de captura en absoluto).

Libpcap, y el puerto de Windows de libpcap, WinPcap, utiliza el mismo formato de archivo.

Aunque a veces se supone que este formato de archivo es adecuado para redes Ethernet solamente, puede servir a muchos tipos de redes diferentes, se pueden encontrar ejemplos de Apoyo a la captura de Wireshark de la página de prensa, todos los tipos enumerados son manejados por el formato de archivo libpcap.

La extensión de archivo propuesto para los archivos basados ​​en libpcap es:. Pcap

Wireshark maneja todos los archivos de captura de E / S en la biblioteca de escuchas telefónicas. Encontrará más detalles sobre el formato de archivo libpcap en la intervención telefónica / libpcap.c y. Archivos h

Formato de archivo

Hay algunas variantes del formato "in the wild", lo siguiente sólo se describe el formato de uso común en su versión actual 2.4. Esta versión del formato no ha cambiado desde hace un tiempo (por lo menos desde libpcap 0,4 en 1998), por lo que no se espera que cambie, excepto para el formato de archivo PCAPng mencionan a continuación.

El archivo tiene un encabezado global que contiene alguna información global seguido por cero o más registros de cada paquete capturado, buscando de esta manera:

Encabezado Global


Paquete de Cabecera


Paquetes de Datos


Paquete de Cabecera


Paquetes de Datos


Paquete de Cabecera


Paquetes de Datos


...

Un paquete capturado en un archivo de captura no contiene necesariamente todos los datos en el paquete tal como aparece en la red; el archivo de captura podría contener en la mayoría de los primeros bytes N de cada paquete, para algún valor de N. El valor de N, de tal captura, se llama la "longitud de la captura" o "snaplen" de la captura. N puede ser un valor mayor que el paquete más grande posible, para asegurar que ningún paquete en la captura se "cortado" corto; un valor de 65535 se utilizarán típicamente en este caso.

Encabezado Global

    Esta cabecera inicia el archivo de libpcap y será seguida por la primera cabecera de paquete:

    pcap_hdr_s typedef struct {
            guint32 magic_number; / * número mágico * /
            guint16 version_major, número / * versión principal * /
            guint16 version_minor; / * número de versión secundaria * /
            gint32 thiszone; / * Hora a la corrección local * /
            guint32 sigfigs; / * La precisión de las marcas de tiempo * /
            guint32 snaplen; / * Longitud máxima de los paquetes capturados, en octetos * /
            guint32 red; / * tipo de enlace de datos * /
    } Pcap_hdr_t;

        magic_number: utilizado para detectar el formato de archivo en sí y el orden de bytes. La solicitud por escrito 0xa1b2c3d4 escribe con su byte nativo formato de pedido en este campo. La aplicación de lectura se leen bien 0xa1b2c3d4 (idéntico) o 0xd4c3b2a1 (en préstamo). Si la aplicación de lectura lee el valor intercambiado 0xd4c3b2a1, sabe que todos los campos siguientes tendrán que ser intercambiados también.
        version_major, version_minor: el número de versión de este formato de archivo (la versión actual es 2,4)
        thiszone: la corrección de tiempo en segundos entre GMT (UTC) y la zona horaria local de las marcas de tiempo siguiente encabezado de paquetes. Ejemplos: Si las marcas de tiempo están en GMT (UTC), es simplemente thiszone 0. Si las marcas de tiempo están en tiempo de Europa Central (Amsterdam, Berlín, ...) que es GMT + 1:00, thiszone debe -3600. En la práctica, las marcas de tiempo son siempre en GMT, por lo thiszone es siempre 0.
        sigfigs: en teoría, la exactitud de las marcas de tiempo en la captura, en la práctica, todas las herramientas se establece en 0

        snaplen: la "longitud instantánea" para la captura (normalmente 65535 o incluso más, pero podría ser limitada por el usuario), ver: incl_len vs orig_len abajo

        red: capa de enlace de tipo de encabezado, especificando el tipo de cabeceras al principio del paquete (por ejemplo, 1 para Ethernet, consulte tcpdump.org 's capa de enlace de encabezado tipos para más detalles), lo que puede ser de varios tipos, tales como 802.11, 802.11, con información de radio diferentes, PPP, Token Ring, FDDI, etc

    ! / \ Nota: si usted necesita un nuevo tipo de encapsulación para archivos libpcap (el valor para el campo de red), no utilice ninguno de los valores existentes! Es decir, no añadir un nuevo tipo de encapsulación por cambiar una entrada existente, dejar las entradas existentes en paz. En su lugar, envíe un correo a tcpdump-workers@lists.tcpdump.org, solicitando una nueva capa de enlace de valor de tipo de encabezado, y especificando el propósito del nuevo valor.

Record (paquetes) Encabezado

    Cada paquete capturado comienza con (cualquier alineación de bytes posible):

    pcaprec_hdr_s typedef struct {
            guint32 ts_sec; / * segundos de marca de tiempo * /
            guint32 ts_usec; ​​/ * microsegundos marca de tiempo * /
            guint32 incl_len; / * número de octetos del paquete guardado en archivo * /
            guint32 orig_len; / * longitud real del paquete * /
    } Pcaprec_hdr_t;

        ts_sec: la fecha y hora en que este paquete fue capturado. Este valor es en segundos desde Enero 1, 1970 00:00:00 GMT, lo que también se conoce como la ONU time_t * X. Usted puede utilizar el tiempo ANSI C () desde time.h para obtener este valor, pero es posible utilizar de manera más optimizada para obtener este valor de marca de tiempo. Si esta marca de tiempo no se basa en GMT (UTC), utilice thiszone de la cabecera global para los ajustes.

        ts_usec: los microsegundos cuando este paquete fue capturado, como una compensación a ts_sec. / ¡\ Atención: este valor no debe llegar a 1 segundo (1 000 000), en este caso ts_sec debe aumentar en su lugar!

        incl_len: el número de bytes de datos por paquetes en realidad capturado y guardado en el archivo. Este valor no debe ser más grande que orig_len o el valor snaplen de la cabecera global.

        orig_len: la longitud del paquete, ya que apareció en la red cuando fue capturado. Si incl_len y orig_len diferentes, el tamaño del paquete en realidad se salvó limitada por snaplen.

Paquetes de Datos

    Los paquetes de datos reales será inmediatamente después de la cabecera del paquete de datos como una mancha de bytes incl_len sin una alineación de bytes específico.

Bibliotecas

No debería ser demasiado difícil de implementar funciones para leer / escribir un archivo de libpcap desde cero, ya que es un formato de archivo muy simple. Sin embargo, si usted desea utilizar una biblioteca para este propósito, o si usted necesita para capturar realmente los paquetes de una red en vivo, las siguientes bibliotecas están disponibles para hacer precisamente esto:

    libpcap: el origen de este formato de archivo (por UN * X basado en sistemas)

    WinPcap: versión basada en Windows de libpcap

Hay contenedores para diversos lenguajes de programación disponibles (pero usted debe tener una de las librerías más arriba instaladas):

    Net :: Pcap: Perl basado en libpcap wrapper

    Jpcap: envoltura basada en JAVA libpcap

    python-libpcap: Envoltorio Python basado en libpcap

    Ruby / Pcap: Rubí envoltura basada en libpcap
    ... puede agregar una envoltura libpcap para su lenguaje de programación favorito o el uso de Google si todavía falta aquí ...

Tenga en cuenta que si usted escribe su propio código, no será capaz de leer los archivos de captura en el "libpcap próxima generación" formato se mencionan a continuación. Si usa libpcap, sin embargo, lo hará, si está vinculado (en tiempo de compilación o tiempo de ejecución) con una versión de libpcap / WinPcap que puede leer los archivos, podrá leer "próxima generación" libpcap archivos que no se usan características no apoyada por la corriente API libpcap (tales como paquetes de varias interfaces con diferentes tipos de capa de enlace), así como leer el formato libpcap actual. Como tal, debe usar libpcap / WinPcap si se puede, en lugar de escribir su propio código para leer estos archivos.

Inconvenientes

El formato libpcap es muy simple, una de las razones que ha ganado un amplio uso. Por desgracia, se echa de menos algunas cosas que podrían ser útiles:

    nanosegundo resolución temporal
    comentarios de los usuarios: "desglose muestra la conexión de paquetes a partir de 1432"
    información de la interfaz (como el fabricante de la tarjeta de red)
    paquete gota cuenta (y probablemente otros cargos también)
    ...

Futuro

Es un hecho ampliamente aceptado que el formato de archivo libpcap sirve a su propósito, pero carece de algunas características útiles. Hay una propuesta de un formato de archivo pcap próxima generación disponible en: http://www.winpcap.org/ntar/draft/PCAP-DumpFileFormat.html. El nuevo formato proporciona muchas de las funciones enumeradas en los "inconvenientes" más arriba.

Esto sigue siendo una propuesta por un buen tiempo. Wireshark tiene actualmente la capacidad de leer al menos algunos archivos pcap-ng, aunque no es compatible con todas las capacidades de los archivos y libpcap 1.1.0 y posteriores tienen una capacidad limitada para leerlos también. El NTAR - Trace red de archivos y bibliotecas de recuperación se encuentra actualmente en desarrollo. Cuando haya terminado, puede leer / escribir los registros en ese formato, pero no los interpreta (como Wireshark lo hace), y en el futuro, libpcap y Wireshark se utilizará la biblioteca y se interpretan los registros.

Más detalles sobre la integración del formato de archivo pcapng en Wireshark en: Development / PcapNg

Discusión

Puede ser, será mejor usar la palabra "bloque de datos" o "bloqueo" o algún otro lugar de "paquete"

http://wiki.wireshark.org/Development/LibpcapFileFormat?highlight=%28%28CaptureSetup%29%29
Saludos,
hasta el próximo Post

boentes

El archivo tiene un encabezado global que contiene alguna información global seguido por cero o más registros de cada paquete capturado, buscando de esta manera:

Encabezado Global :(


Paquete de Cabecera


Paquetes de Datos


Paquete de Cabecera


Paquetes de Datos


Paquete de Cabecera


Paquetes de Datos


...

Un paquete capturado en un archivo de captura no contiene necesariamente todos los datos en el paquete tal como aparece en la red; el archivo de captura podría contener en la mayoría de los primeros bytes N de cada paquete, para algún valor de N. El valor de N, de tal captura, se llama la "longitud de la captura" o "snaplen" de la captura. N puede ser un valor mayor que el paquete más grande posible, para asegurar que ningún paquete en la captura se "cortado" corto; un valor de 65535 se utilizarán típicamente en este caso.

http://wiki.wireshark.org/Development/LibpcapFileFormat?highlight=%28%28CaptureSetup%29%29
;D
Saludos,
hasta el próximo Post