dw网站模板/百度服务商

你根本不能直接倒到MYSQL中，格式都不一样！

去网上下个UTRLEDIT或者其它二进制查看工具，然后按下面的方法看：

ZT:

Tcpdump文件格式：首先我们看到的是最外面的一张包装纸：tcpdump的文件格式。它的格式是这样的(详细的描述可以参考：libpcap-format的资料)：文件头 | 数据包头 ｜ 链路层数据 ｜ 数据包头 ｜链路层数据｜ ....首先，每个文件以一个24字节长的文件头开头，我们需要知道的是最前面的四个字节是：A1 B2 C3 D4，如果不是这个标识，那么就不是tcpdump生成的数据文件(如果是PC上的windump生成的文件，那么则是D4 C3 B2 A1，以表明PC上的endian不同，我们这里不用关心这个区别)。跳过这24个字节，下面就是以“数据包头｜链路层数据”为一组的这样一组组的数据。数据包头不是网络上真正传输的数据，它包含的信息主要是截获这个包的时间等信息。它的长度16个字节。我们关心的是第8-11和9-15字节(我们按编程的习惯，把第一个字节称为第0字节，下同)。前者表明后面的链路层数据包在文件里面的长度，后者表明它的实际长度。两者可能不同是因为可能存在截断的情况。由于我们使用了-s 0参数，所以他们应该是相同的。从数据包头结束，到长度指明的字节数为止，是实际在网络中传输的链路层数据包。然后，就是下一个数据包头。这样，我们就可以逐个把tcpdump文件的封装去掉，获得一个一个实际在网络中传输的数据包了。例如，我们忽略文件头，从第24字节开始的3F 44 32 28 ...就是数据包，数据包的第8-11字节：00 00 00 96就是这个后面数据链路层数据包的长度。也就是说，从40字节开始00 06 25 60...的150(0x96的转换成10进制)个字节就是实际网络传输的链路层数据包。然后，我们在第190(40+150)字节的位置又看到了3F 44 32 29...的下一个数据包头。我们这样就获得了一个个的链路层数据包。我们上面例子中的第一个是：

0000: 00 06 25 60 F4 C0 00 03

0008: 93 A7 09 38 08 00 45 00

0016: 00 88 8E 53 00 00 80 11

0024: 9D 9D C0 A8 01 66 CA 68

0032: 81 FD C2 34 1F 40 00 74

0040: C3 AD 02 08 16 00 22 00

0048: 10 01 82 5D 90 6F 30 FD

0056: 96 3B B1 0F E5 FF 8E 3E

0064: 4B 38 E2 86 E1 8A F7 C8

0072: CA B2 01 76 B6 ED 9E 2B

0080: 97 FD B9 7F 23 B2 09 02

0088: 71 22 94 E3 4B E8 E2 8F

0096: FD FF 02 87 83 0B 32 57

0104: 73 91 7F EF 7B 7A 60 CB

0112: 44 A4 B5 CA 13 19 F6 CE

0120: D5 EC 2F D5 8A 88 22 48

0128: 14 4E 44 08 18 37 9D 8D

0136: AA 42 9C 88 A4 AB 44 0D

0144: 4B 23 74 AC ED 03

链路层数据包：下面我们要撕去链路层数据包这个第二层包装纸。链路层数据包格式是和传输的方式有关的：如果我们是在局域网里面共享上网，那么一般是用称为RFC894以太网协议，少数情况下也会是RFC 1042的802.3协议。如果你用Modem拨号上网，那么可能会是RFC 1055的SLIP协议，如果是用ADSL，那么将会是RFC 1548的PPP协议。链路层数据对我们来说意义不大，我们要做的是剥去这层包装纸而已。

RFC894/RFC1042/RFC 1548:这三种协议的形式都是：

包头｜IP数据包｜(包尾)对RFC894，包头是14字节；RFC1042，包头是22字节；RFC 1548，包头是5个字节。我们跨过这些字节，就是IP包的数据了。包尾如何并不要紧，因为IP包的内容本身会告诉我们它的长度。在上面的链路层数据包中，我们跳过14个字节，第14字节以45 00 00 88开始的就是IP包的数据。其它的协议也可以这样处理。RFC 1055:IP数据包被封装在一对的0xc0字符中间。但是，由于数据包中间就不能有0xc0字符，所以原来的0xc0字符被其它代替了，我们要把它还原。方法是搜索这个数据包，把0xdb 0xdc转换为0xc0；0xdb 0xdd转换为0xdb。比较麻烦，所以，最后不要使用它来截取数据。IP包的第2-3字节是它的长度，上面我们看到的第14字节开始的IP包，它的长度就是00 88。也就是136个字节。所以，从14字节开始的136个字节就是IP数据包。这样，我们就剥去了链路层的包装纸，获取了IP包。我们上面的例子的第一个IP包是：0000: 45 00 00 88 8E 53 00 00

0008: 80 11 9D 9D C0 A8 01 66

0016: CA 68 81 FD C2 34 1F 40

0024: 00 74 C3 AD 02 08 16 00

0032: 22 00 10 01 82 5D 90 6F

0040: 30 FD 96 3B B1 0F E5 FF

0048: 8E 3E 4B 38 E2 86 E1 8A

0056: F7 C8 CA B2 01 76 B6 ED

0064: 9E 2B 97 FD B9 7F 23 B2

0072: 09 02 71 22 94 E3 4B E8

0080: E2 8F FD FF 02 87 83 0B

0088: 32 57 73 91 7F EF 7B 7A

0096: 60 CB 44 A4 B5 CA 13 19

0104: F6 CE D5 EC 2F D5 8A 88

0112: 22 48 14 4E 44 08 18 37

0120: 9D 8D AA 42 9C 88 A4 AB

0128: 44 0D 4B 23 74 AC ED 03

---------------------------------------------

IP包

IP包是网络上传送的与传输线路无关的数据包，也是我们开始需要真正关心的数据。IP包的格式是：IP包头｜IP包数据(我们这里就是UDP数据包)IP包头，除了我们刚才说的包长度(第2-3字节)以外，还有几个重要的信息是我们所需要关心的：第12-15和第16-19分别为源和目的IP地址。它用四个字节来代表一个IP地址，把每个字节转换成十进制，就是我们熟悉的IP地址。比如，上面的源IP地址：C0 A8 01 66就是192.168.1.102，这是我局域网的IP地址，所以，这是一个从我的机器上发出的包。目的地址是CA 68 81 FD就是202.104.129.253。从后面我们对QQ数据包的了解我们知道这是一个发往服务器的包，所以我们就获得了一个QQ服务器的IP地址。(注意，并不是全部发出的包都是发往服务器的！)如果，找到一个原来不知道的服务器，那么是一个很重要的发现。

第０个字节，高4位为IP的版本号，低四位为IP包头的长度。比如说，我们上面的数据包第一个字节为45，它的高4位为4，表明它是我们通常所说的IPv4协议，低四位为5，表明IP包头的长度为5X4=20字节(头的长度是以四字节为单位的)。这样表明从第20字节开始就是IP包的数据部分，也就是UDP包的内容了。这样我们可以剥离出UDP包：0000: C2 34 1F 40 00 74 C3 AD

0008: 02 08 16 00 22 00 10 01

0016: 82 5D 90 6F 30 FD 96 3B

0024: B1 0F E5 FF 8E 3E 4B 38

0032: E2 86 E1 8A F7 C8 CA B2

0040: 01 76 B6 ED 9E 2B 97 FD

0048: B9 7F 23 B2 09 02 71 22

0056: 94 E3 4B E8 E2 8F FD FF

0064: 02 87 83 0B 32 57 73 91

0072: 7F EF 7B 7A 60 CB 44 A4

0080: B5 CA 13 19 F6 CE D5 EC

0088: 2F D5 8A 88 22 48 14 4E

0096: 44 08 18 37 9D 8D AA 42

0104: 9C 88 A4 AB 44 0D 4B 23

0112: 74 AC ED 03

UDP包

UDP包是多数即时通讯软件采用的协议。它的格式是：UDP包头｜UDP包数据(这里就是腾讯QQ协议包)UDP包头是固定8个字节。第0-1字节是源端口号，第2-3是目的端口号。一般，我们客户端的端口号可以随便选取(有资料说是4000，但是实际发现，新版的QQ已经是随便选取，没有限制了)。从上面的UDP包，我们从以前IP包的信息知道是我们发送出去数据包，所以目的端口号就是服务器所使用的端口号。这里是1F 40，也就是8000号端口，目前还没有发现使用其他端口的，所以，如果发现有服务器使用其他端口，也将是一个很重要的信息。第4-5字节是UDP包的长度，这不是很重要，但是也可以用它来检验一下我们的剥离过程有没有错误。我们去除掉头8个字节，剩下的就是QQ协议包了：0000: 02 08 16 00 22 00 10 01

0008: 82 5D 90 6F 30 FD 96 3B

0016: B1 0F E5 FF 8E 3E 4B 38

0024: E2 86 E1 8A F7 C8 CA B2

0032: 01 76 B6 ED 9E 2B 97 FD

0040: B9 7F 23 B2 09 02 71 22

0048: 94 E3 4B E8 E2 8F FD FF

0056: 02 87 83 0B 32 57 73 91

0064: 7F EF 7B 7A 60 CB 44 A4

0072: B5 CA 13 19 F6 CE D5 EC

0080: 2F D5 8A 88 22 48 14 4E

0088: 44 08 18 37 9D 8D AA 42

0096: 9C 88 A4 AB 44 0D 4B 23

0104: 74 AC ED 03

--------------------------------

我用UTRLEDIT工具打开了是这些代码

"C0 A8 01 66就是192.168.1.102，这是我局域网的IP地址，所以，这是一个从我的机器上发出的包。目的地址是CA 68 81 FD就是202.104.129.253。"

可是这样要源地址,目的地址,源端口,目的端口,时间戳,这几个参量岂不是很费劲啊

麻烦一下netsys2(来电！)我就是想根据上面的dump文件统计信息

比如:

2005.06.08 00:00:00 源地址1,目的地址1,源端口1,目的端口1

2005.06.08 00:00:02 源地址2,目的地址2,源端口2,目的端口2

--------------------------------------------

--------------------

------>正是你作为程序员大显身手的地方了，自己编程，fopen读取文件中参数信息，然后用SQL语句insert写到数据库中。。