dpkt 无效的 tcpdump 标头错误

Question

我收到 ValueError: Invalid tcpdump header error for below code。任何帮助表示赞赏

import dpkt

f = open('a.pcap')
pcap = dpkt.pcap.Reader(f)

for ts, buf in pcap:
    eth = dpkt.ethernet.Ethernet(buf)
    ip = eth.data
    tcp = ip.data

if tcp.dport == 80 and len(tcp.data) > 0:
    http = dpkt.http.Request(tcp.data)
    print http.uri

f.close()

错误如下所示

Traceback (most recent call last):
File "malcap.py", line 6, in <module>
pcap = dpkt.pcap.Reader(f)
File "/usr/lib/python2.7/site-packages/dpkt/pcap.py", line 104, in __init__
raise ValueError, 'invalid tcpdump header'
ValueError: invalid tcpdump header

Answer 1

由于我遇到了同样的错误，这里是问题分析。

注意：目前看来问题仅在 MacOS 上观察到，而在 Linux tcpdump 上按预期工作。

1)man tcpdump指pcap格式：

See pcap-savefile(5) for a description of the file format.

如果您打开 PCAP-SAVEFILE 文档，您可能会看到：

每个文件头中的第一个字段是一个 4 字节的幻数，值为 0xa1b2c3d4

2) 从 pcap.py 你可能会看到下一个：

elif self.__fh.magic != TCPDUMP_MAGIC:
    raise ValueError, 'invalid tcpdump header'

3) 基于 1) 和 2) 我们可以确定该文件不是 pcap。

让我们用 hexdump 检查一下：

hexdump test1.pcap  0000000 0a 0d 0d 0a

这与我们的预期不同。

让我们检查一下这是否是一种新格式“pcap-ng”。 从http://www.winpcap.org/ntar/draft/PCAP-DumpFileFormat.html我们可以阅读下一个：

Block Type：Section Header Block的块类型是整数 对应4个字符的字符串“\r\n\n\r”（0x0A0D0D0A）。

• 这就是我们想要的！

4) 由于我们正在使用 pylibpcap，并且（目前）不支持 pcap-ng，我们需要以某种方式处理这个问题。

有两种选择： 4.1) 使用editcap工具：

editcap -F libpcap -T ether test.pcapng test.pcap

4.2) 使用dumpcap 工具收集数据，该工具支持两种格式的数据存储（旧格式使用-P）。即：

dumpcap -P -i en0 -w test.pcap

(macbook air case en0)

不过，Apple tcpdump 实施中似乎存在错误。

tcpdump 的 Mac OS 描述如下：

   -P     Use the pcap-ng file format when saving files.  Apple modification.

如果你运行 tcpdump（没有 -P 并且没有指定 -i 接口）：

tcpdump -w test.pcap
hexdump test.pcap

你会看到 pcap-ng 格式的结果：

bash-3.2$ hexdump test.pcap  0000000 0a 0d 0d 0a

如果你使用指定的接口运行 tcpdump：

tcpdump -w test.pcap -i en0

格式正确：

bash-3.2$ hexdump test.pcap  0000000 d4 c3 b2 a1 02