最近我决定仔细研究tcpdump文件格式的有效负载字节,即pcap,我意识到它们没有意义。这些是在OS / X上收集的。
他们绝对总是从00 00开始。
有效载荷长度通常约为39字节,310字节,1500字节。
查看字节,它们通常以00 00 19 00 6f 08 00 00或00 00 24 00 0b 00 0c 00开头。
它们似乎不是以以太网帧,IP前导码,UDP报头,TCP报头或任何其他预期数据开头的。当我在数据中搜索我的IPv4 MAC地址时,我经常会找到它,但并非总是如此。与IPv6地址相同。当我在数据中搜索我的IP地址时,同样的交易。
许多数据包似乎涉及搜索或获取有关其他Wifi网络的信息。
似乎很多操作都是为了识别我周围的(很多)Wifi路由器,但我不知道该数据的格式。
有人能指出我对有效负载字节的技术解释吗?感谢。
我还应该补充一点,tcpdump本身在读取这些在OS / X上生成的pcap文件时遇到了麻烦。生成它们的命令是
/usr/sbin/tcpdump -s 0 -w output.pcap -vv -In -i en1
以及其他人推荐的以下命令没有正确转储它们:
tcpdump -qns 0 -X -r output.pcap | less
实际上它产生的线路提到“tsft 1.0 Mb / s 2452 MHz 11g -78dB信号-91dB噪声天线0信标”。
答案 0 :(得分:2)
实际上它产生的线路提到“tsft 1.0 Mb / s 2452 MHz 11g -78dB信号-91dB噪声天线0信标”。
这有什么问题?它正在以它应该的方式解析radiotap标题。
您使用-I标记捕获,这意味着您在监控模式下捕获。默认情况下,在OS X(以及大多数情况下在Linux和* BSD上),使用radiotap头捕获,提供无线电层元数据。
pcap文件在文件头中有一个“linktype”值;对于捕获流量的每个网络接口,pcap-ng文件在每个接口描述块中都有一个“linktype”值。这些值在tcpdump.org网站的link-layer header types页面上描述。您的捕获可能具有链路层标头类型值127,即LINKTYPE_IEEE802_11_RADIOTAP,并且数据包以radiotap标头开头,后跟802.11帧。
他们绝对总是从00 00开始。
这是radiotap标头的it_version字段,后跟it_pad字段;当前存在的唯一版本的radiotap头是版本0,并且填充字段几乎总是如果不总是设置为0(它的值是无关紧要的)。
查看字节,它们通常以00 00 19 00 6f 08 00 00或00 00 24 00 0b 00 0c 00开头。
19 00和24 00是双字节it_len字段;它是小端的,所以19 00是0x0019或25,24 00是0x0024或36.(19 00有点可疑,因为它不是4.)这是radiotap标题的长度。