在PCAP中源/目标IP地址信息驻留在哪里？

Question

我正在研究pcapng文件格式，我知道当wireshark读取pcapng文件时，它会告诉您各种信息。我一直在阅读pcap-ng格式，在pcapng文件中没有看到任何实际列出IP地址的地方。

我还远未完全理解文件格式，但从文档中我确实了解到它有6个块。

• 区段标头
• 接口描述
• 增强型分组
• 简单包
• 名称解析
• 界面统计

我不懂这个谜题的哪一部分？

Answer 1

pcap格式只是描述了封装捕获数据包的容器格式。它不描述捕获的数据包的内容。因此，如果您捕获了一个IP数据包，则需要参考IP规范来获取源IP地址和目标IP地址。如果捕获的数据也包括以太网帧，则在到达IP部分之前，必须首先删除该数据。如果您想进入TCP端口，您必须了解TCP报头格式，以便在IP包内部的TCP报头中查找端口号，这些都不是pcap的一部分。