Без да използвам libpcap, опитвам се да напиша лог файл, който се придържа към файловия формат pcap (формат). Този файл трябва да може да се чете от WireShark. Досега съм написал това на C++:
struct pcapFileHeader {
uint32_t magic_number; /* magic number */
uint16_t version_major; /* major version number */
uint16_t version_minor; /* minor version number */
int16_t thiszone; /* GMT to local correction */
uint32_t sigfigs; /* accuracy of timestamps */
uint32_t snaplen; /* max length of captured packets, in octets */
uint32_t network; /* data link type */
};
ofstream fileout;
fileout.open("file.pcap", ios::trunc);
pcapFileHeader fileHeader;
fileHeader.magic_number = 0xa1b2c3d4;
fileHeader.version_major = 2;
fileHeader.version_minor = 4;
fileHeader.thiszone = 0;
fileHeader.sigfigs = 0;
fileHeader.snaplen = 65535; //(2^16)
fileHeader.network = 1; //Ethernet
fileout << fileHeader.magic_number <<
fileHeader.version_major <<
fileHeader.version_minor <<
fileHeader.thiszone <<
fileHeader.sigfigs <<
fileHeader.snaplen <<
fileHeader.network;
fileout.close();
Така че това трябва да направи празен файл за заснемане, но когато го отворя в Wireshark, ме посрещат с:
Файлът "hello.pcap" изглежда е бил съкратен по средата на пакет или други данни.
Опитах се да отворя изходния файл в двоичен режим, но това не помогна. Бих публикувал това във форума на WireShark, но мисля, че това е потребителска грешка, а не нещо нередно с WireShark.
Помощта ще бъде много ценена.
