Я пытаюсь прочитать файл ERF и прочитать все его Packets с использованием схемы формата this.Чтение файла ERF (Wireshark)
Это мой файл:
Я пометил, где начало пакета (этот файл содержит только один пакет) и Length.
Я пытался понять формат без успеха, поэтому мой вопрос: как найти пакет Timestamp?
В соответствии со спецификацией формата временная метка находится в первых восьми байтах, упорядочивается по порядку.
Таким образом, в вашем примере, метка времени имеет низкую часть первых четырех байтов: 0x92, 0x8F, 0xDD, 0xB1, давая вам 0xB1DD8F92, и высокую часть 0x4E, 0x74, 0xF5, 0x4F дает вам 0x4FF5744E.
Согласно спецификации, вы можете просто взять высокочастотный элемент и вставить в свой любимый unix-преобразователь времени как десятичный (1341486158), и вы получите метку времени с точностью до секунды.
Это TCP-пакет, я знаю, где начинается и заканчивается пакет (помечено), но отметка времени должна быть до этой начальной точки, и я хочу знать, как ее читать. –
Я считаю, что временные метки необязательны для TCP. Поэтому вам нужно будет посмотреть в области параметров заголовка tcp. – iheanyi
Вы должны опубликовать свою попытку сделать это, чтобы у нас была отправная точка, чтобы помочь вам. –