我在一组PCAP文件上有一个随机出现的问题。我试图使用SharpPcap和PacketDotNet解析记录的PCAP文件中的所有数据包。错误似乎是随机发生的。
我没有做任何幻想。以下是我从PCAP文件加载的代码:
ICaptureDevice device;
try
{
device = new CaptureFileReaderDevice(pcapFiles[i].FullName);
device.Open();
}
catch (Exception ex)
{
Console.WriteLine("Error opening PCAP file " + ex.ToString());
}
RawCapture packet;
while ((packet = device.GetNextPacket()) != null)
ProcessPacket(packet);
device.Close();
在ProcessPacket方法中,我得到了
尝试设置否定指数
执行以下行时:
var packet = PacketDotNet.Packet.ParsePacket(Packet.LinkLayerType, Packet.Data);
我正在使用这两个库的最新版本,但我尝试使用旧版本的实现并遇到了同样的问题。
如果这意味着任何事情,则由Suricata IDS生成PCAP文件。
我使用以下代码进行了简单的测试:
class Program
{
static void Main(string[] args)
{
FileInfo[] allFiles = new DirectoryInfo(@"D:\PCAP").GetFiles();
FileInfo[] pcapFiles = allFiles.Where(x => x.Name.Contains("pcap") && x.Length > 0).ToArray();
for (int i = 0; i < pcapFiles.Length; ++i)
{
ICaptureDevice device;
try
{
device = new CaptureFileReaderDevice(pcapFiles[i].FullName);
device.Open();
}
catch (Exception ex)
{
Console.WriteLine("Error opening PCAP file " + ex.ToString());
return;
}
RawCapture packet;
while ((packet = device.GetNextPacket()) != null)
{
try
{
ProcessPacket(packet);
}
catch
{
Console.WriteLine(pcapFiles[i]);
break;
}
}
device.Close();
}
Console.WriteLine("Done.");
Console.ReadLine();
}
public static void ProcessPacket(RawCapture Packet)
{
if (Packet.LinkLayerType == PacketDotNet.LinkLayers.Ethernet)
{
var packet = PacketDotNet.Packet.ParsePacket(Packet.LinkLayerType, Packet.Data);
var ethernetPacket = (PacketDotNet.EthernetPacket)packet;
}
}
}
有趣的是,发生错误的文件数量因运行而异。但是,每次运行似乎都在增加。
非常感谢任何帮助。