如何从pcap文件恢复数据?

时间:2010-06-07 06:38:08

标签: c extract pcap tcpdump

我有以下文件:test_network.pcap: tcpdump capture file (little-endian) - version 2.4 (Ethernet, capture length 65535)
我知道在这个文件中很少有视频流。 我该如何提取它们?

[文件为~180 GB]

3 个答案:

答案 0 :(得分:4)

  1. 使用Pcap库(libpcapWinPcapPcap.Net
  2. 通过以太网提取TCP over IP。
  3. 重建TCP流(请参阅Reconstructing data from PCAP sniff)。
  4. 将TCP流数据保存到文件中。

    5. 尝试一些Pcap TCP重建工具:

    http://www.codeproject.com/KB/IP/TcpRecon.aspx

    http://code.google.com/p/pcap-reconst/

答案 1 :(得分:2)

开发了一些工具来实现您的目标,其中一些是开源的,例如:

答案 2 :(得分:0)

您可以查看以下链接,了解understad pcap规范:PCAP especification

此网站可能对您有用:tcpdump.org

您也可以使用c ++库:libpcap++

相关问题
最新问题