SharonBrizinov/Holy-Grail-PCAP

GitHub: SharonBrizinov/Holy-Grail-PCAP

一个超大的pcap文件,涵盖186种链路层封装类型和1600多个Wireshark解析器,用于最大化解析器代码覆盖率测试。

Stars: 37 | Forks: 6

# Holy Grail PCAP 作者:Sharon Brizinov

The Holy Grail PCAP by Sharon Brizinov

有些人收集宝可梦卡牌。我收集数据包。 这个项目是数月工作的成果,旨在创建**"Holy Grail" PCAP**——一个巨大的pcap文件,包含能够触发几乎所有**1,600+个Wireshark解析器**代码执行的数据包,涵盖所有封装类型。当使用Wireshark tshark解析时,这个pcap会调用项目中几乎每个协议解析器的代码。 **这是用最少的数据包实现Wireshark所有解析器最大代码覆盖的集合。** 每个数据包都有其存在的价值——在整个项目中,我持续使用[wirecov](https://github.com/SharonBrizinov/wirecov)测量解析器代码覆盖率,删除冗余数据包,只保留那些能够触发独特代码路径的数据包。 这个pcap远远超越了仅包含以太网流量。它涵盖了**186种不同的链路层类型**,包括蓝牙、USB、Wi-Fi(802.11)、IEEE 802.15.4、CAN总线、DOCSIS、帧中继、ATM、PPP、FDDI、令牌环、Linux Cooked Capture等等。每种链路层类型(也称为封装类型)告诉Wireshark如何在最低层解释数据包的原始字节——在任何IP、TCP或应用层解析开始之前。Wireshark使用内部WTAP编号来标识这些类型,这些编号映射到libpcap的DLT(Data Link Type)值。更多详情请参阅[理解WTAP、ENCAP和DLT](#understanding-wtap-encap-and-dlt)。 您可以查看完整的覆盖报告[`here`](docs/dissector-coverage-report.html)(使用[wirecov](https://github.com/SharonBrizinov/wirecov)生成):

Coverage report

## 统计信息 | | | |---|---| | **Mega Merge大小** | 867.5 MB | | **唯一协议栈** | ~98k | | **数据包总数** | ~3m | | **封装类型** | 186 | ## 覆盖率(默认,无自定义标志) | | | |---|---| | **总体(默认)** | ~63% | | **基于IP的解析器(默认)** | ~85% | | **激活的解析器(默认)** | ~80% | ## 下载 | 文件 | 描述 | |---|---| | [`ALL_ENCAPS_HOLY_GRAIL_PACP.pcapng`](pcaps/all_merged/ALL_ENCAPS_HOLY_GRAIL_PACP.pcapng) | Mega merge - 2,773,127个数据包,涵盖115种已知封装类型,合并在一个pcapng文件中 | | [`pcaps/encap_types/`](pcaps/encap_types/) | 所有186种封装类型的单独per-encap pcapng文件(包括67个未知DLT和边缘情况,未包含在mega merge中) | ## 如何克隆 您可以手动下载pcap,例如 - [`ALL_ENCAPS_HOLY_GRAIL_PACP.pcapng`](pcaps/all_merged/ALL_ENCAPS_HOLY_GRAIL_PACP.pcapng)。但是,如果您想克隆此项目并下载所有pcap,您需要使用`git-lfs`。此仓库中的pcap文件使用**Git LFS(大型文件存储)**存储,因为它们对于常规Git来说太大了。Git LFS是一个Git扩展,用轻量级指针替换大文件,同时将实际文件内容存储在单独的服务器上。没有它,克隆只会得到小指针文件,而不是真正的pcapng。 ``` # 1. 安装 Git LFS(一次性设置) # macOS - brew install git-lfs # Ubuntu Debian - sudo apt install git-lfs # Windows - 从 https://git-lfs.com 下载 # 2. 初始化 Git LFS(一次性设置) git lfs install # 3. 克隆仓库(LFS 文件会自动下载) git clone https://github.com/SharonBrizinov/Holy-Grail-PCAP.git cd Holy-Grail-PCAP # 4. 如果已经不用 LFS 克隆过,请拉取实际文件 git lfs pull ``` 要验证下载是否成功,请检查mega merge文件约为824 MB,而不是一个微小的指针文件: ``` ls -lh pcaps/all_merged/ALL_ENCAPS_HOLY_GRAIL_PACP.pcapng # 应显示约 824M,而非 130 字节 ``` ## 基准测试 我使用各种标志组合在Apple M1 Max(32 GB RAM,10个CPU核心)上通过`tshark`(~v4.2.0,编译时启用ASAN)运行此pcap。结果清楚地表明,`-2`(两遍分析)是主要的成本驱动因素。 | id | 时间(小时,分钟)| 使用的标志 | |----|----------------------|------------| | 1 | 0h 1m | `-n` | | 2 | 0h 1m | `-n -o ip.defragment:FALSE` | | 3 | 0h 14m | `-n -V` | | 4 | 0h 16m | `-n -o tcp.desegment_tcp_streams:FALSE -o ip.defragment:FALSE` | | 5 | 5h 6m | `-n -2 -z expert` | | 6 | 7h 15m | `-n -2 -o ip.defragment:FALSE -V -z expert` | | 7 | 11h 58m | `-n -2 -o tcp.desegment_tcp_streams:FALSE -o ip.defragment:FALSE -V -z expert` | ## 如何运行 使用`tshark`(Wireshark的命令行工具)来处理Holy Grail PCAP。以下是最有用的标志: | 标志 | 描述 | 使用时机 | |------|-------------|-------------| | `-r ` | 从pcapng文件读取数据包 | 始终使用——这是指定输入文件的方式 | | `-n` | 禁用网络名称解析(无DNS查询)| 始终推荐——避免在大pcap上出现缓慢的DNS查询和挂起 | | `-2` | 执行两遍分析 | 当您需要准确的重组、对话跟踪或响应时间统计时。第一遍构建状态,第二遍使用它 | | `-V` | 显示完整的数据包解析树(详细输出)| 当您想查看每个协议字段的详细解码时。警告:在大型pcap上会产生大量输出 | | `-z expert` | 显示专家信息摘要(错误、警告、注释)| 非常适合快速发现解析器问题——显示格式错误的数据包、协议违规和异常 | | `-o tcp.desegment_tcp_streams:FALSE` | 禁用TCP重组 | 当在单个数据包上对解析器进行压力测试而不等待完整的TCP流时。当您关心每数据包解析而不是流级分析时也很有用 | | `-o ip.defragment:FALSE` | 禁用IP分片重组 | 当测试解析器处理单个IP分片而不是重组的数据报时 | ### 示例命令 ``` # 无重组的压力测试解析器(最大化每数据包代码覆盖率) tshark -n -r pcaps/all_merged/ALL_ENCAPS_HOLY_GRAIL_PACP.pcapng \ -o tcp.desegment_tcp_streams:FALSE \ -o ip.defragment:FALSE # 无碎片化的压力测试解析器,详细模式 tshark -n -V -r pcaps/all_merged/ALL_ENCAPS_HOLY_GRAIL_PACP.pcapng \ -o ip.defragment:FALSE # 完整两遍分析,含专家信息(较慢但更准确) tshark -n -2 -r pcaps/all_merged/ALL_ENCAPS_HOLY_GRAIL_PACP.pcapng -z expert # 详细解析特定封装类型(如蓝牙) tshark -n -V -r pcaps/encap_types/WTAP-041_DLT-187_BLUETOOTH_H4/*.pcapng # 解析前 1000 个数据包并详细预览以进行查看 tshark -n -V -c 1000 -r pcaps/all_merged/ALL_ENCAPS_HOLY_GRAIL_PACP.pcapng # 崩溃测试 tshark 开发版本 - 启用所有功能进行解析 tshark -n -2 -r pcaps/all_merged/ALL_ENCAPS_HOLY_GRAIL_PACP.pcapng \ -o tcp.desegment_tcp_streams:FALSE \ -o ip.defragment:FALSE \ -V -z expert > /dev/null ``` ## 如何制作 构建这个pcap是一个多阶段的过程: 1. **收集** - 从我能找到的每个来源收集数百个pcap pcapng文件,包括[Wireshark样本捕获](https://wiki.wireshark.org/SampleCaptures) wiki、[Wireshark自动捕获](https://www.wireshark.org/download/automated/captures/)仓库以及互联网上的许多其他来源。 2. **最小化与覆盖率测试** - 最小化收集的捕获,并使用[wirecov](https://github.com/SharonBrizinov/wirecov)针对Wireshark的解析器代码库测量代码覆盖率,以识别差距。 3. **模糊测试** - 使用[wirefuzz](https://github.com/SharonBrizinov/wirefuzz)对Wireshark tshark进行广泛模糊测试,以生成能够触发未覆盖代码路径的数据包,然后再次测量覆盖率。 4. **手动数据包生成** - 手动为模糊测试无法触及的特定解析器和代码路径精心制作数据包,以进一步提高覆盖率。 5. **迭代** - 重复最小化、覆盖测试和模糊测试循环多次,直到覆盖率趋于平稳。 ## 自定义工具 我专门为此项目开发了两个开源工具: ### [wirecov](https://github.com/SharonBrizinov/wirecov) 一个专注于解析器代码的Wireshark代码覆盖率工具。它使用覆盖率检测编译Wireshark,通过tshark运行pcap文件,并生成详细的覆盖率报告,准确显示哪些解析器代码路径被触发,哪些被遗漏。它还支持测试**Wireshark版本矩阵**(master、v4.4、v4.6等),以便您可以比较不同版本之间的覆盖率。这对于识别差距和在整个项目中衡量进度至关重要。 ### [wirefuzz](https://github.com/SharonBrizinov/wirefuzz) 一个专为Wireshark设计的模糊测试框架。它使用覆盖率引导的模糊测试来生成变异的数据包,以探索Wireshark解析器中的新代码路径。与通用模糊测试器不同,wirefuzz理解pcap文件结构,可以针对特定的封装类型和协议层,使其在深入解析器代码方面更加有效。 ## 使用场景 - **漏洞挖掘与漏洞研究** - 因为这个pcap几乎触发了每个解析器代码路径,所以在发现漏洞方面非常有效。我已经通过在不同版本的Wireshark上运行此pcap并观察崩溃、断言失败和内存错误,发现了**数十个零日漏洞**。如果某个解析器存在潜在漏洞,这个pcap很可能会触发它。使用[wirefuzz](https://github.com/SharonBrizinov/wirefuzz)进一步深入——与通用模糊测试器不同,wirefuzz可以针对**任何封装类型**并接受pcap文件作为变异的基线输入您可以为此项目中的per-encap pcapng提供数据,并使用已经深入代码路径的高质量种子输入对特定解析器进行模糊测试,而不是从头开始。 - **代码覆盖率分析** - 将此pcap与[wirecov](https://github.com/SharonBrizinov/wirecov)结合使用,可以详细了解哪些解析器代码路径正在被使用,哪些没有被使用。这对于想要了解其测试套件对代码库覆盖程度的Wireshark开发人员,或寻找未测试(因此可能存在漏洞)代码的安全研究人员来说非常宝贵。 - **CI/CD回归测试** - 将此pcap集成到您的CI/CD管道中作为回归测试。在每次提交或夜间构建时运行`tshark -r`针对Holy Grail PCAP——如果代码更改在1,600+个解析器中引入崩溃、内存泄漏或解析回归,这个pcap很可能会捕获它。这比使用少量协议特定的捕获进行测试要全面得多。 - **压力测试与基准测试** - 拥有超过300万个数据包,涵盖186种封装类型和约98,000个唯一协议栈,这个pcap是Wireshark、tshark或任何处理pcapng文件的工具的出色压力测试。使用它来基准测试解析性能,识别内存瓶颈,或验证您的工具能够优雅地处理异域和深度嵌套的协议组合。 - **学习与研究** - [`pcaps/encap_types/`](pcaps/encap_types/)中的per-encap pcapng文件是按链路层类型组织的精选数据包捕获库。如果您需要特定协议的样本流量——无论是Juniper PPP、BACnet MS TP、GPRS LLC还是Z-Wave——您都可以在这里找到。 ## pcap vs pcapng 数据包捕获领域有两种主要的捕获文件格式: - **pcap** - libpcap引入的经典格式。它使用全局头文件为整个文件定义一个链路层类型,意味着pcap文件中的每个数据包必须共享相同的封装。它不支持除时间戳和数据包长度之外的元数据,也无法存储多个接口、注释、名称解析记录或其他辅助数据。 - **pcapng(pcap Next Generation)** - pcap的现代替代品。它支持单个文件中的多个接口,每个接口可以有不同的链路层类型,通过接口描述块(IDB)实现,支持每数据包封装、文件和数据包注释、名称解析块、自定义元数据,以及灵活的可扩展块结构,无需破坏兼容性。 **此项目中的所有捕获文件都使用pcapng格式。** 这是有意为之的选择——Holy Grail PCAP涵盖186种不同的封装类型,仅mega merge文件就包含115种封装类型,分布在290个接口上。这对于经典的pcap格式来说是不可能的,因为该格式每个文件仅限于单一链路层类型。pcapng对多个IDB和每数据包封装的支持使得可以将来自数十种不同链路层技术(以太网、Wi-Fi、USB、蓝牙、CAN总线等)的捕获合并到单个统一文件中成为可能。 ## 理解WTAP、ENCAP和DLT 处理pcap文件和Wireshark时,您会遇到三个相关概念来标识捕获数据包的链路层类型: - **WTAP(Wiretap)** - Wireshark的内部封装类型标识符。这是Wireshark内部用于确定每个数据包的原始字节应该由哪个解析器处理的ID。每个WTAP编号都映射到Wireshark内的特定链路层协议处理器(例如,WTAP-001 = 以太网,WTAP-025 = Linux Cooked Capture)。 - **ENCAP(封装)** - 数据包链路层封装类型的一般术语。在Wireshark的上下文中,ENCAP和WTAP经常互换使用——它们指的是相同的内部映射。pcapng接口描述块中的`encapsulation type`字段指定WTAP ENCAP类型。 - **DLT(Data Link Type)** - libpcap/tcpdump定义的链路层头类型。DLT值用于经典pcap文件头和pcapng文件中,以指示如何解释原始数据包数据。Wireshark将每个DLT值映射到其对应的WTAP类型。DLT值由[tcpdump.org](https://www.tcpdump.org/linktypes.html)标准化。请注意,同一个WTAP类型可以映射到多个DLT值(例如,WTAP-007 RAW_IP映射到DLT-012、DLT-014和DLT-101)。 ## Pcap表 Holy Grail PCAP包含**186种封装类型**,组织成单独的per-encap pcapng文件。mega merge文件将115种已知封装类型合并到一个pcapng中。其余文件(67个未知DLT + 4个问题文件)作为单独的per-encap pcapng提供。 ### 已知封装类型 | WTAP | DLT | 名称 | 数据包数 | Pcap | |------|-----|------|--------:|------| | WTAP-001 | DLT-001 | Ethernet (part 1) | 220,243 | [pcapng](pcaps/encap_types/WTAP-001_DLT-001_ETHERNET/WTAP-001_DLT-001_ETHERNET.part-1.merged.pcapng) | | WTAP-001 | DLT-001 | Ethernet (part 2) | 129,329 | [pcapng](pcaps/encap_types/WTAP-001_DLT-001_ETHERNET/WTAP-001_DLT-001_ETHERNET.part-2.merged.pcapng) | | WTAP-002 | DLT-006 | Token Ring | 33,332 | [pcapng](pcaps/encap_types/WTAP-002_DLT-006_TOKEN_RING/) | | WTAP-003 | DLT-008 | SLIP | 40,430 | [pcapng](pcaps/encap_types/WTAP-003_DLT-008_SLIP/) | | WTAP-004 | DLT-050 | PPP | 43,936 | [pcapng](pcaps/encap_types/WTAP-004_DLT-050_PPP/) | | WTAP-006 | DLT-010 | FDDI | 38,835 | [pcapng](pcaps/encap_types/WTAP-006_DLT-010_FDDI_WITH_BIT-SWAPPED_MAC_ADDRESSES/) | | WTAP-007 | DLT-012 | Raw IP | 1,266 | [pcapng](pcaps/encap_types/WTAP-007_DLT-012_RAW_IP/) | | WTAP-007 | DLT-014 | Raw IP | 6 | [pcapng](pcaps/encap_types/WTAP-007_DLT-014_RAW_IP/) | | WTAP-007 | DLT-101 | Raw IP | 61,858 | [pcapng](pcaps/encap_types/WTAP-007_DLT-101_RAW_IP/) | | WTAP-009 | DLT-129 | Linux ARCNET | 38,874 | [pcapng](pcaps/encap_types/WTAP-009_DLT-129_LINUX_ARCNET/) | | WTAP-010 | DLT-100 | RFC 1483 ATM | 39,642 | [pcapng](pcaps/encap_types/WTAP-010_DLT-100_RFC_1483_ATM/) | | WTAP-011 | DLT-016 | Linux ATM CLIP | 4 | [pcapng](pcaps/encap_types/WTAP-011_DLT-016_LINUX_ATM_CLIP/) | | WTAP-011 | DLT-106 | Linux ATM CLIP | 41,450 | [pcapng](pcaps/encap_types/WTAP-011_DLT-106_LINUX_ATM_CLIP/) | | WTAP-013 | DLT-123 | ATM PDUs | 1,066 | [pcapng](pcaps/encap_types/WTAP-013_DLT-123_ATM_PDUS/) | | WTAP-015 | DLT-000 | Null Loopback | 40,116 | [pcapng](pcaps/encap_types/WTAP-015_DLT-000_NULLLOOPBACK/) | | WTAP-018 | DLT-122 | RFC 2625 IP-over-Fibre Channel | 63,162 | [pcapng](pcaps/encap_types/WTAP-018_DLT-122_RFC_2625_IP-OVER-FIBRE_CHANNEL/) | | WTAP-019 | DLT-204 | PPP with Directional Info | 74,919 | [pcapng](pcaps/encap_types/WTAP-019_DLT-204_PPP_WITH_DIRECTIONAL_INFO/) | | WTAP-020 | DLT-105 | IEEE 802.11 Wireless LAN | 32,868 | [pcapng](pcaps/encap_types/WTAP-020_DLT-105_IEEE_80211_WIRELESS_LAN/) | | WTAP-021 | DLT-119 | IEEE 802.11 + Prism II Header | 64,810 | [pcapng](pcaps/encap_types/WTAP-021_DLT-119_IEEE_80211_PLUS_PRISM_II_MONITOR_MODE_RADIO_HEADER/) | | WTAP-023 | DLT-127 | IEEE 802.11 + Radiotap Header | 31,878 | [pcapng](pcaps/encap_types/WTAP-023_DLT-127_IEEE_80211_PLUS_RADIOTAP_RADIO_HEADER/) | | WTAP-024 | DLT-163 | IEEE 802.11 + AVS Header | 23,686 | [pcapng](pcaps/encap_types/WTAP-024_DLT-163_IEEE_80211_PLUS_AVS_RADIO_HEADER/) | | WTAP-025 | DLT-113 | Linux Cooked Capture v1 | 87,920 | [pcapng](pcaps/encap_types/WTAP-025_DLT-113_LINUX_COOKED-MODE_CAPTURE_V1/) | | WTAP-026 | DLT-107 | Frame Relay | 44,972 | [pcapng](pcaps/encap_types/WTAP-026_DLT-107_FRAME_RELAY/) | | WTAP-028 | DLT-104 | Cisco HDLC | 37,460 | [pcapng](pcaps/encap_types/WTAP-028_DLT-104_CISCO_HDLC/) | | WTAP-028 | DLT-112 | Cisco HDLC | 4 | [pcapng](pcaps/encap_types/WTAP-028_DLT-112_CISCO_HDLC/) | WTAP-029 | DLT-118 | Cisco IOS Internal | 19,286 | [pcapng](pcaps/encap_types/WTAP-029_DLT-118_CISCO_IOS_INTERNAL/) | | WTAP-030 | DLT-114 | LocalTalk | 3,310 | [pcapng](pcaps/encap_types/WTAP-030_DLT-114_LOCALTALK/) | | WTAP-032 | DLT-121 | HiPath HDLC | 28,783 | [pcapng](pcaps/encap_types/WTAP-032_DLT-121_HIPATH_HDLC/) | | WTAP-033 | DLT-143 | DOCSIS | 56,709 | [pcapng](pcaps/encap_types/WTAP-033_DLT-143_DATA_OVER_CABLE_SERVICE_INTERFACE_SPECIFICATION/) | | WTAP-037 | DLT-128 | Tazmen Sniffer Protocol | 39,668 | [pcapng](pcaps/encap_types/WTAP-037_DLT-128_TAZMEN_SNIFFER_PROTOCOL/) | | WTAP-038 | DLT-109 | OpenBSD enc4 | 38,672 | [pcapng](pcaps/encap_types/WTAP-038_DLT-109_OPENBSD_ENC4_ENCAPSULATING_INTERFACE/) | | WTAP-039 | DLT-117 | OpenBSD pflog | 39,856 | [pcapng](pcaps/encap_types/WTAP-039_DLT-117_OPENBSD_PF_FIREWALL_LOGS/) | | WTAP-041 | DLT-187 | Bluetooth H4 | 11,984 | [pcapng](pcaps/encap_types/WTAP-041_DLT-187_BLUETOOTH_H4/) | | WTAP-042 | DLT-140 | SS7 MTP2 | 18,977 | [pcapng](pcaps/encap_types/WTAP-042_DLT-140_SS7_MTP2/) | | WTAP-043 | DLT-141 | SS7 MTP3 | 18,877 | [pcapng](pcaps/encap_types/WTAP-043_DLT-141_SS7_MTP3/) | | WTAP-044 | DLT-144 | IrDA | 4 | [pcapng](pcaps/encap_types/WTAP-044_DLT-144_IRDA/) | | WTAP-045 | DLT-147 | USER 0 | 33,784 | [pcapng](pcaps/encap_types/WTAP-045_DLT-147_USER_0/) | | WTAP-046 | DLT-148 | USER 1 | 35,904 | [pcapng](pcaps/encap_types/WTAP-046_DLT-148_USER_1/) | | WTAP-047 | DLT-149 | USER 2 | 41,113 | [pcapng](pcaps/encap_types/WTAP-047_DLT-149_USER_2/) | | WTAP-048 | DLT-150 | USER 3 | 41,706 | [pcapng](pcaps/encap_types/WTAP-048_DLT-150_USER_3/) | | WTAP-049 | DLT-151 | USER 4 | 38,764 | [pcapng](pcaps/encap_types/WTAP-049_DLT-151_USER_4/) | | WTAP-050 | DLT-152 | USER 5 | 5 | [pcapng](pcaps/encap_types/WTAP-050_DLT-152_USER_5/) | | WTAP-051 | DLT-153 | USER 6 | 18 | [pcapng](pcaps/encap_types/WTAP-051_DLT-153_USER_6/) | | WTAP-052 | DLT-154 | USER 7 | 5 | [pcapng](pcaps/encap_types/WTAP-052_DLT-154_USER_7/) | | WTAP-053 | DLT-155 | USER 8 | 4 | [pcapng](pcaps/encap_types/WTAP-053_DLT-155_USER_8/) | | WTAP-054 | DLT-156 | USER 9 | 945 | [pcapng](pcaps/encap_types/WTAP-054_DLT-156_USER_9/) | | WTAP-055 | DLT-157 | USER 10 | 115 | [pcapng](pcaps/encap_types/WTAP-055_DLT-157_USER_10/) | | WTAP-056 | DLT-158 | USER 11 | 5 | [pcapng](pcaps/encap_types/WTAP-056_DLT-158_USER_11/) | | WTAP-057 | DLT-159 | USER 12 | 4 | [pcapng](pcaps/encap_types/WTAP-057_DLT-159_USER_12/) | | WTAP-058 | DLT-160 | USER 13 | 6 | [pcapng](pcaps/encap_types/WTAP-058_DLT-160_USER_13/) | | WTAP-059 | DLT-161 | USER 14 | 10,611 | [pcapng](pcaps/encap_types/WTAP-059_DLT-161_USER_14/) | | WTAP-060 | DLT-162 | USER 15 | 39,516 | [pcapng](pcaps/encap_types/WTAP-060_DLT-162_USER_15/) | | WTAP-061 | DLT-099 | Symantec Enterprise Firewall | 40,678 | [pcapng](pcaps/encap_types/WTAP-061_DLT-099_SYMANTEC_ENTERPRISE_FIREWALL/) | | WTAP-063 | DLT-165 | BACnet MS TP | 11,921 | [pcapng](pcaps/encap_types/WTAP-063_DLT-165_BACNET_MSTP/) | | WTAP-066 | DLT-169 | GPRS LLC | 26,450 | [pcapng](pcaps/encap_types/WTAP-066_DLT-169_GPRS_LLC/) | | WTAP-067 | DLT-137 | Juniper ATM1 | 37,558 | [pcapng](pcaps/encap_types/WTAP-067_DLT-137_JUNIPER_ATM1/) | | WTAP-068 | DLT-135 | Juniper ATM2 | 37,751 | [pcapng](pcaps/encap_types/WTAP-068_DLT-135_JUNIPER_ATM2/) | | WTAP-069 | DLT-032 | Redback SmartEdge | 41,191 | [pcapng](pcaps/encap_types/WTAP-069_DLT-032_REDBACK_SMARTEDGE/) | | WTAP-075 | DLT-139 | Encap 75 | 873 | [pcapng](pcaps/encap_types/WTAP-075_DLT-139_ENCAP_75/) | | WTAP-076 | DLT-167 | Juniper PPPoE | 490 | [pcapng](pcaps/encap_types/WTAP-076_DLT-167_JUNIPER_PPPOE/) | | WTAP-077 | DLT-172 | GCOM TIE1 | 34,990 | [pcapng](pcaps/encap_types/WTAP-077_DLT-172_GCOM_TIE1/) | | WTAP-078 | DLT-173 | GCOM Serial | 144 | [pcapng](pcaps/encap_types/WTAP-078_DLT-173_GCOM_SERIAL/) | | WTAP-083 | DLT-178 | Juniper Ethernet | 45,920 | [pcapng](pcaps/encap_types/WTAP-083_DLT-178_JUNIPER_ETHERNET/) | | WTAP-084 | DLT-179 | Juniper PPP | 40,391 | [pcapng](pcaps/encap_types/WTAP-084_DLT-179_JUNIPER_PPP/) | | WTAP-085 | DLT-180 | Juniper Frame Relay | 31,134 | [pcapng](pcaps/encap_types/WTAP-085_DLT-180_JUNIPER_FRAME-RELAY/) | | WTAP-086 | DLT-181 | Juniper C-HDLC | 39,485 | [pcapng](pcaps/encap_types/WTAP-086_DLT-181_JUNIPER_C-HDLC/) | | WTAP-087 | DLT-133 | Juniper GGSN | 9,081 | [pcapng](pcaps/encap_types/WTAP-087_DLT-133_JUNIPER_GGSN/) | | WTAP-091 | DLT-183 | Juniper Voice PIC | 488 | [pcapng](pcaps/encap_types/WTAP-091_DLT-183_JUNIPER_VOICE_PIC/) | | WTAP-092 | DLT-186 | USB (FreeBSD Header) | 671 | [pcapng](pcaps/encap_types/WTAP-092_DLT-186_USB_PACKETS_WITH_FREEBSD_HEADER/) | | WTAP-093 | DLT-188 | IEEE 802.16 MAC CPS | 4 | [pcapng](pcaps/encap_types/WTAP-093_DLT-188_IEEE_80216_MAC_COMMON_PART_SUBLAYER/) | | WTAP-095 | DLT-189 | USB (Linux Header) | 2,606 | [pcapng](pcaps/encap_types/WTAP-095_DLT-189_USB_PACKETS_WITH_LINUX_HEADER/) | | WTAP-097 | DLT-192 | PPI (Per-Packet Info) | 78,078 | [pcapng](pcaps/encap_types/WTAP-097_DLT-192_PER-PACKET_INFORMATION_HEADER/) | | WTAP-098 | DLT-197 | Encap 98 | 1 | [pcapng](pcaps/encap_types/WTAP-098_DLT-197_ENCAP_98/) | | WTAP-099 | DLT-201 | Encap 99 | 90 | [pcapng](pcaps/encap_types/WTAP-099_DLT-201_ENCAP_99/) | | WTAP-100 | DLT-196 | Encap 100 | 12 | [pcapng](pcaps/encap_types/WTAP-100_DLT-196_ENCAP_100/) | | WTAP-101 | DLT-142 | SS7 SCCP | 3,066 | [pcapng](pcaps/encap_types/WTAP-101_DLT-142_SS7_SCCP/) | | WTAP-103 | DLT-199 | IPMB (Kontron Header) | 37,379 | [pcapng](pcaps/encap_types/WTAP-103_DLT-199_INTELLIGENT_PLATFORM_MANAGEMENT_BUS_WITH_KONTRON_PSEUDO-HEADER/) | | WTAP-104 | DLT-195 | IEEE 802.15.4 | 38,812 | [pcapng](pcaps/encap_types/WTAP-104_DLT-195_IEEE_802154_WIRELESS_PAN/) | | WTAP-109 | DLT-190 | CAN 2.0B | 433 | [pcapng](pcaps/encap_types/WTAP-109_DLT-190_CONTROLLER_AREA_NETWORK_20B/) | | WTAP-111 | DLT-213 | X2E Serial | 4 | [pcapng](pcaps/encap_types/WTAP-111_DLT-213_X2E_SERIAL_LINE_CAPTURE/) | | WTAP-115 | DLT-220 | USB (Linux Header + Padding) | 3,399 | [pcapng](pcaps/encap_types/WTAP-115_DLT-220_USB_PACKETS_WITH_LINUX_HEADER_AND_PADDING/) | | WTAP-121 | DLT-224 | Fibre Channel FC-2 | 254 | [capng](pcaps/encap_types/WTAP-121_DLT-224_FIBRE_CHANNEL_FC-2/) | | WTAP-124 | DLT-226 | Solaris IPNET | 282 | [pcapng](pcaps/encap_types/WTAP-124_DLT-226_SOLARIS_IPNET/) | | WTAP-125 | DLT-227 | SocketCAN | 82 | [pcapng](pcaps/encap_types/WTAP-125_DLT-227_SOCKETCAN/) | | WTAP-127 | DLT-230 | IEEE 802.15.4 (no FCS) | 41,895 | [pcapng](pcaps/encap_types/WTAP-127_DLT-230_IEEE_802154_WIRELESS_PAN_WITH_FCS_NOT_PRESENT/) | | WTAP-129 | DLT-228 | Raw IPv4 | 39,483 | [pcapng](pcaps/encap_types/WTAP-129_DLT-228_RAW_IPV4/) | | WTAP-130 | DLT-229 | Raw IPv6 | 36,639 | [pcapng](pcaps/encap_types/WTAP-130_DLT-229_RAW_IPV6/) | | WTAP-131 | DLT-203 | LAPD | 2,042 | [pcapng](pcaps/encap_types/WTAP-131_DLT-203_LAPD/) | | WTAP-138 | DLT-243 | MPEG2-TS | 8,073 | [pcapng](pcaps/encap_types/WTAP-138_DLT-243_ISOIEC_13818-1_MPEG2-TS/) | | WTAP-141 | DLT-239 | NFLOG | 20,040 | [pcapng](pcaps/encap_types/WTAP-141_DLT-239_NFLOG/) | | WTAP-146 | DLT-231 | D-Bus | 1,742 | [pcapng](pcaps/encap_types/WTAP-146_DLT-231_D-BUS/) | | WTAP-147 | DLT-202 | AX.25 + KISS Header | 1,442 | [pcapng](pcaps/encap_types/WTAP-147_DLT-202_AX25_WITH_KISS_HEADER/) | | WTAP-149 | DLT-248 | SCTP | 32,576 | [pcapng](pcaps/encap_types/WTAP-149_DLT-248_SCTP/) | | WTAP-151 | DLT-136 | Juniper Services | 76 | [pcapng](pcaps/encap_types/WTAP-151_DLT-136_JUNIPER_SERVICES/) | | WTAP-152 | DLT-249 | USB (USBPcap Header) | 3,244 | [pcapng](pcaps/encap_types/WTAP-152_DLT-249_USB_PACKETS_WITH_USBPCAP_HEADER/) | | WTAP-154 | DLT-251 | Bluetooth LE Link Layer | 14,025 | [pcapng](pcaps/encap_types/WTAP-154_DLT-251_BLUETOOTH_LOW_ENERGY_LINK_LAYER/) | | WTAP-155 | DLT-252 | Wireshark Upper PDU Export | 32,390 | [pcapng](pcaps/encap_types/WTAP-155_DLT-252_WIRESHARK_UPPER_PDU_EXPORT/) | | WTAP-158 | DLT-253 | Linux Netlink | 27,632 | [pcapng](pcaps/encap_types/WTAP-158_DLT-253_LINUX_NETLINK/) | | WTAP-174 | DLT-108 | OpenBSD Loopback | 41,093 | [pcapng](pcaps/encap_types/WTAP-174_DLT-108_OPENBSD_LOOPBACK/) | | WTAP-175 | DLT-000 | JSON | 1 | [pcapng](pcaps/encap_types/WTAP-175_DLT-000_JAVASCRIPT_OBJECT_NOTATION/) | | WTAP-178 | DLT-170 | GFP Transparent Mode | 478 | [pcapng](pcaps/encap_types/WTAP-178_DLT-170_ITU-T_G7041Y1303_GENERIC_FRAMING_PROCEDURE_TRANSPARENT_MODE/) | | WTAP-179 | DLT-171 | GFP Frame-Mapped Mode | 33,564 | [pcapng](pcaps/encap_types/WTAP-179_DLT-171_ITU-T_G7041Y1303_GENERIC_FRAMING_PROCEDURE_FRAME-MAPPED_MODE/) | | WTAP-181 | DLT-184 | Juniper VN | 4 | [pcapng](pcaps/encap_types/WTAP-181_DLT-184_JUNIPER_VN/) | | WTAP-186 | DLT-272 | nRF Sniffer for BLE | 653 | [pcapng](pcaps/encap_types/WTAP-186_DLT-272_NRF_SNIFFER_FOR_BLUETOOTH_LE/) | | WTAP-197 | DLT-200 | Juniper Secure Tunnel | 120 | [pcapng](pcaps/encap_types/WTAP-197_DLT-200_JUNIPER_SECURE_TUNNEL_INFORMATION/) | | WTAP-206 | DLT-283 | IEEE 802.15.4 + TAP Header | 36,049 | [pcapng](pcaps/encap_types/WTAP-206_DLT-283_IEEE_802154_WIRELESS_WITH_TAP_PSEUDO-HEADER/) | | WTAP-208 | DLT-288 | USB 2.0 (1.1.0) | 216 | [pcapng](pcaps/encap_types/WTAP-208_DLT-288_USB_201110_PACKETS/) | | WTAP-210 | DLT-276 | Linux Cooked Capture v2 | 40,431 | [pcapng](pcaps/encap_types/WTAP-210_DLT-276_LINUX_COOKED-MODE_CAPTURE_V2/) | | WTAP-211 | DLT-287 | Z-Wave Serial API | 4 | [pcapng](pcaps/encap_types/WTAP-211_DLT-287_Z-WAVE_SERIAL_API_PACKETS/) | | WTAP-212 | DLT-290 | ETW (Event Tracing for Windows) | 4,755 | [pcapng](pcaps/encap_types/WTAP-212_DLT-290_EVENT_TRACING_FOR_WINDOWS_MESSAGES/) | | WTAP-214 | DLT-292 | ZBOSS NCP | 1,521 | [pcapng](pcaps/encap_types/WTAP-214_DLT-292_ZBOSS_NCP/) | | WTAP-215 | DLT-293 | Low-Speed USB 2.0 (1.1.0) | 229 | [pcapng](pcaps/encap_types/WTAP-215_DLT-293_LOW-SPEED_USB_201110_PACKETS/) | | WTAP-216 | DLT-294 | Full-Speed USB 2.0 (1.1.0) | 213 | [pcapng](pcaps/encap_types/WTAP-216_DLT-294_FULL-SPEED_USB_201110_PACKETS/) | | WTAP-217 | DLT-295 | High-Speed USB 2.0 | 253 | [pcapng](pcaps/encap_types/WTAP-217_DLT-295_HIGH-SPEED_USB_20_PACKETS/) | | WTAP-219 | DLT-296 | Auerswald Log | 4 | [pcapng](pcaps/encap_types/WTAP-219_DLT-296_AUERSWALD_LOG/) | | WTAP-220 | DLT-289 | ATSC ALP (A/330) | 39,154 | [pcapng](pcaps/encap_types/WTAP-220_DLT-289_ATSC_LINK-LAYER_PROTOCOL_A330_PACKETS/) | | WTAP-221 | DLT-299 | FiRa UCI | 1,560 | [pcapng](pcaps/encap_types/WTAP-221_DLT-299_FIRA_UWB_CONTROLLER_INTERFACE_UCI_PROTOCOL/) | | WTAP-222 | DLT-298 | Silicon Labs Debug Channel | 1,299 | [pcapng](pcaps/encap_types/WTAP-222_DLT-298_SILABS_DEBUG_CHANNEL/) | | WTAP-223 | DLT-300 | MDB (Multi-Drop Bus) | 36,788 | [pcapng](pcaps/encap_types/WTAP-223_DLT-300_MDB_MULTI-DROP_BUS/) | ### 未知封装类型(WTAP-000)
67个未知DLT类型,共390,191个数据包(点击展开) | DLT | 名称 | 数据包数 | Pcap | |-----|------|--------:|------| | DLT-005 | DLT_CHAOS | 10,701 | [pcapng](pcaps/encap_types/WTAP-000_DLT-005_UNKNOWN/) | | DLT-017 | Unassigned | 2,970 | [pcapng](pcaps/encap_types/WTAP-000_DLT-017_UNKNOWN/) | | DLT-022 | Unassigned | 6,274 | [pcapng](pcaps/encap_types/WTAP-000_DLT-022_UNKNOWN/) | | DLT-027 | Unassigned | 10,433 | [pcapng](pcaps/encap_types/WTAP-000_DLT-027_UNKNOWN/) | | DLT-031 | Unassigned | 10,375 | [pcapng](pcaps/encap_types/WTAP-000_DLT-031_UNKNOWN/) | | DLT-034 | Unassigned | 2 | [pcapng](pcaps/encap_types/WTAP-000_DLT-034_UNKNOWN/) | | DLT-035 | Unassigned | 12,642 | [pcapng](pcaps/encap_types/WTAP-000_DLT-035_UNKNOWN/) | | DLT-036 | Unassigned | 440 | [pcapng](pcaps/encap_types/WTAP-000_DLT-036_UNKNOWN/) | | DLT-040 | Unassigned | 7,239 | [pcapng](pcaps/encap_types/WTAP-000_DLT-040_UNKNOWN/) | | DLT-062 | Unassigned | 13,938 | [pcapng](pcaps/encap_types/WTAP-000_DLT-062_UNKNOWN/) | | DLT-064 | Unassigned | 9,737 | [pcapng](pcaps/encap_types/WTAP-000_DLT-064_UNKNOWN/) | | DLT-065 | Unassigned | 7,472 | [pcapng](pcaps/encap_types/WTAP-000_DLT-065_UNKNOWN/) | | DLT-067 | Unassigned | 11,049 | [pcapng](pcaps/encap_types/WTAP-000_DLT-067_UNKNOWN/) | | DLT-068 | Unassigned | 12,939 | [pcapng](pcaps/encap_types/WTAP-000_DLT-068_UNKNOWN/) | | DLT-070 | Unassigned | 2 | [pcapng](pcaps/encap_types/WTAP-000_DLT-070_UNKNOWN/) | | DLT-071 | Unassigned | 13,067 | [pcapng](pcaps/encap_types/WTAP-000_DLT-071_UNKNOWN/) | | DLT-072 | Unassigned | 8,868 | [pcapng](pcaps/encap_types/WTAP-000_DLT-072_UNKNOWN/) | | DLT-073 | Unassigned | 9,499 | [pcapng](pcaps/encap_types/WTAP-000_DLT-073_UNKNOWN/) | | DLT-074 | Unassigned | 2 | [pcapng](pcaps/encap_types/WTAP-000_DLT-074_UNKNOWN/) | | DLT-076 | Unassigned | 13,076 | [pcapng]() | | DLT-077 | Unassigned | 2 | [pcapng](pcaps/encap_types/WTAP-000_DLT-077_UNKNOWN/) | | DLT-078 | Unassigned | 2 | [pcapng](pcaps/encap_types/WTAP-000_DLT-078_UNKNOWN/) | | DLT-079 | Unassigned | 7,326 | [pcapng](pcaps/encap_types/WTAP-000_DLT-079_UNKNOWN/) | | DLT-080 | Unassigned | 2 | [pcapng](pcaps/encap_types/WTAP-000_DLT-080_UNKNOWN/) | | DLT-081 | Unassigned | 11,144 | [pcapng](pcaps/encap_types/WTAP-000_DLT-081_UNKNOWN/) | | DLT-082 | Unassigned | 10,050 | [pcapng](pcaps/encap_types/WTAP-000_DLT-082_UNKNOWN/) | | DLT-083 | Unassigned | 12,857 | [pcapng](pcaps/encap_types/WTAP-000_DLT-083_UNKNOWN/) | | DLT-084 | Unassigned | 9,769 | [pcapng](pcaps/encap_types/WTAP-000_DLT-084_UNKNOWN/) | | DLT-085 | Unassigned | 9,767 | [pcapng](pcaps/encap_types/WTAP-000_DLT-085_UNKNOWN/) | | DLT-086 | Unassigned | 8,044 | [pcapng](pcaps/encap_types/WTAP-000_DLT-086_UNKNOWN/) | | DLT-087 | Unassigned | 10,525 | [pcapng](pcaps/encap_types/WTAP-000_DLT-087_UNKNOWN/) | | DLT-088 | Unassigned | 4,936 | [pcapng](pcaps/encap_types/WTAP-000_DLT-088_UNKNOWN/) | | DLT-089 | Unassigned | 12,044 | [pcapng](pcaps/encap_types/WTAP-000_DLT-089_UNKNOWN/) | | DLT-091 | Unassigned | 9,480 | [pcapng](pcaps/encap_types/WTAP-000_DLT-091_UNKNOWN/) | | DLT-092 | Unassigned | 129 | [pcapng](pcaps/encap_types/WTAP-000_DLT-092_UNKNOWN/) | | DLT-093 | Unassigned | 2 | [pcapng](pcaps/encap_types/WTAP-000_DLT-093_UNKNOWN/) | | DLT-094 | Unassigned | 2,220 | [pcapng](pcaps/encap_types/WTAP-000_DLT-094_UNKNOWN/) | | DLT-096 | Unassigned | 327 | [pcapng](pcaps/encap_types/WTAP-000_DLT-096_UNKNOWN/) | | DLT-102 | DLT_SLIP_BSDOS | 3 | [pcapng](
标签:802.11, ASN解析, ATM, CAN总线, DLT, DOCSIS, FDDI, Frame Relay, IEEE 802.15.4, PCAP, PPP, Token Ring, tshark, USB, Wi-Fi, wirecov, Wireshark, WTAP, 代码覆盖率, 协议栈, 协议解码器, 句柄查看, 流量捕获, 网络协议分析, 网络安全, 网络工程, 网络抓包, 网络拓扑, 网络流量分析, 网络测试, 蓝牙, 链路层, 防御绕过, 隐私保护