1.
目視パケット解析入門
pcap ファイル フォーマットの話
hebikuzure aka Murachi Akira

2.
About me
• 村地 彰 aka hebikuzure
• http://www.murachi.net/
• http://www.hebikuzure.com/
• https://hebikuzure.wordpress.com/
• Microsoft MVP(Internet Explorer)Apr. 2011 ～
2015/3/27 2ネットワーク パケットを読む会 (仮)

3.
パケット解析
•Wireshark が無かったら
•その他アナライザーが無かったら
2015/3/27 ネットワーク パケットを読む会 (仮) 3

4.
パケット解析 – 最後の手段
•キャプチャ ファイルの生データを
目視で解析
•目pakeana
2015/3/27 ネットワーク パケットを読む会 (仮) 4

5.
そのために…
•キャプチャ ファイルのデータ構造を
理解する
2015/3/27 ネットワーク パケットを読む会 (仮) 5
重要

6.
pcap ファイルのデータ構造
•pcap.h で定義
• WinPcap のソース
https://www.winpcap.org/docs/docs_412/html/
incs_2pcap_8h_source.html
2015/3/27 ネットワーク パケットを読む会 (仮) 6

7.
pcap ファイルの構造
2015/3/27 ネットワーク パケットを読む会 (仮) 7
pcap_file_header
pcap_pkthdr
packet data
pcap_pkthdr
packet data
pcap_pkthdr
packet data
………
～

8.
pcap_file_header
bpf_u_int32 magic
u_short
version_major
Libpcap major version.
u_short
version_minor
Libpcap minor version.
bpf_int32
thiszone
gmt to local correction
bpf_u_int32
sigfigs
accuracy of timestamps
bpf_u_int32
snaplen
max length saved portion of each pkt
bpf_u_int32
linktype
data link type (LINKTYPE_*)
2015/3/27 ネットワーク パケットを読む会 (仮) 8

9.
pcap_pkthdr
2015/3/27 ネットワーク パケットを読む会 (仮) 9
struct timeval
ts
time stamp
bpf_u_int32
caplen
length of portion present
bpf_u_int32
len
length this packet (off wire)

10.
pcap ファイルのデータ構造
2015/3/27 ネットワーク パケットを読む会 (仮) 10
0 1 2 3 4 5 6 7 8 9 A B C D E F
D4 C3 B2 A1 02 00 04 00 00 00 00 00 00 00 00 00
00 00 04 00 01 00 00 00 9B 55 13 55 3B 67 05 00
0B 01 00 00 0B 01 00 00 F8 72 EA 99 72 81 00 06
0000
0000
0000
0000 : 0030
: 0000
: 0010
: 0020
frame #1
pcap_pkthdr
caplen
pcap_pkthdr
len
actuial frame data
distination MAC source MAC
snaplen linktype ts
pcap_file_header
pcap_file_header
frame #1
magic version_major version_minor thiszone sigfigs
………
～

11.
DEMO
2015/3/27 ネットワーク パケットを読む会 (仮) 11

12.
Any Question?
2015/3/27 ネットワーク パケットを読む会 (仮) 12