libpcap 文件格式 (.pcap) ​

libpcap 文件格式被广泛的开源（以及闭源）程序使用。

历史 ​

当前的 libpcap 文件格式版本 2.4 已经存在相当长时间了。

支持此文件类型的程序 ​

• Wireshark, TShark, ...

• TcpDump, WinDump

• snort

• Analyzer

• Packetyzer

• ……以及更多程序

时间戳 ​

常见的时间戳分辨率是 1 µs。有一种特殊的 libpcap 格式可用（仅 Wireshark 支持），提供 1 ns 的时间戳分辨率。

Wireshark ​

libpcap 支持功能完整。Wireshark 支持读取和写入此格式。

Wireshark 在 wiretap 库中处理所有抓包文件 I/O。你可以在源代码文件 wiretap/libpcap.c 和 .h 中找到有关 libpcap 文件格式的更多细节 😃

示例抓包文件 ​

XXX - 向 SampleCaptures 页面添加一个简单的示例抓包文件，并从此处链接过去（见下文）。保持该文件简短，最好也将其 gzip 压缩以进一步减小体积，因为 Wireshark 可以自动打开 gzip 压缩文件。

• SampleCaptures/FILE.pcap

外部链接 ​

• Development/LibpcapFileFormat libpcap 文件格式细节

讨论 ​

导入自 https://wiki.wireshark.org/FileFormatReference/libpcap，时间为 2020-08-11 23:14:05 UTC

相关 Wireshark Wiki 页面 ​

• Wireshark Wiki 首页Home · 入门与使用
• Development/LibpcapFileFormatDevelopment/LibpcapFileFormat · 开发与扩展
• SampleCapturesSampleCaptures · 入门与使用
• TcpDumpTcpDump · 工具与脚本
• WinDumpWinDump · 工具与脚本