Lấy số gói trong tệp chụp pcap?

Question

Tôi cần một chương trình in số gói trong tệp chụp sử dụng pcap format. Con số này dường như không có sẵn trong tiêu đề pcap (có thể vì nó được viết trước khi bắt đầu chụp) và dường như không có "chân trang" trong tệp, với thông tin này.

Vì vậy, tôi tin rằng thuật toán duy nhất là lặp qua tất cả các gói và tổng hợp chúng. Đó là trong O (N) và, cho các dấu vết lớn, khá dài.

Tôi đăng ở đây để xem ai đó có ý tưởng thông minh hơn không?

Tôi được gắn thẻ "C" vì đó là ngôn ngữ tôi hiện đang sử dụng nhưng tôi cho rằng đó là vấn đề độc lập về ngôn ngữ.

Answer 1

Robert Edmonds, tác giả của pcaputils, đã đề cập đến tôi rằng đã có một chương trình đang làm những gì tôi muốn, capinfos, trong gói Wireshark. Nó hiển thị các chỉ dẫn khác nhau về tệp pcap, bao gồm số lượng gói chứa.

Đọc nguồn mã, có vẻ như nó hoạt động bằng cách di chuyển toàn bộ tệp, theo tuần tự.

Answer 2

Phương pháp duy nhất tôi biết là đọc tệp, khung được chụp bằng khung được chụp và tăng bộ đếm gói. Tuy nhiên, có một tiêu đề khung nhỏ chứa chiều dài của khung được lưu trữ, vì vậy bạn có thể tìm kiếm có thể không nhanh hơn nữa, bạn hãy nhớ rằng, bạn có thể nhớ nhanh hơn, hãy nhớ rằng bạn có thể nhanh hơn, hãy nhớ đến bạn

Tuy nhiên, nếu bạn muốn làm nhiều hơn là chỉ đếm số khung hình đã chụp. và xây dựng một chuỗi các khung hình được chụp trong khi đếm chúng, để sử dụng trong tương lai Thư viện PCAP của tôi cho Common Lisp thực hiện điều này. "điều hướng khung hình tiếp theo/trước", đọc thêm khung hình từ đĩa nếu cần. Tuy nhiên, việc phân tích cú pháp khung lều được để lại theo ý của người dùng thư viện và không được thực thi bằng cách đọc các octet khung vào cấu trúc dữ liệu.

Answer 3

Chỉ chỉ cách để xác định số lượng gói trong tệp là đọc toàn bộ tệp. Có, trên thực tế, không có số lượng gói trong tiêu đề tệp (vì định dạng được thiết kế để có thể ghi trong một lần truyền), và trên thực tế, không có chân trang.

Answer 4

Nếu bạn muốn số của Frames trong pcap:

tshark -r test.cap | wc -l 

Sử dụng capinfos:

capinfos test.cap | grep "Number of packets"| tr -d " " | cut -d ":" -f 2 

Sử dụng tcpdump:

tcpdump -r test.cap 2>/dev/null| wc -l 

Vì vậy, về cơ bản, sử dụng libpcap, đây là một ví dụ:

#include <stdio.h> 
#include <pcap.h> 
#include <stdlib.h> 

int main(int argc, char **argv) 
{ 
    unsigned int packet_counter=0; 
    struct pcap_pkthdr header; 
    const u_char *packet; 

    if (argc < 2) { 
    fprintf(stderr, "Usage: %s <pcap>\n", argv[0]); 
    exit(1); 
    } 

    pcap_t *handle; 
    char errbuf[PCAP_ERRBUF_SIZE]; 
    handle = pcap_open_offline(argv[1], errbuf); 

    if (handle == NULL) { 
    fprintf(stderr,"Couldn't open pcap file %s: %s\n", argv[1], errbuf); 
    return(2); 
    } 

    while (packet = pcap_next(handle,&header)) { 

     packet_counter++; 

    } 
    pcap_close(handle); 


    printf("%d\n", packet_counter); 
    return 0; 
} 

Chú ý: bạn cần phải cài đặt các tiêu đề libpcap (trên tìm kiếm Linux cho libpcap dev/devel gói)

Sau đó biên dịch với gcc -o myprogram myprogram.c -lpcap