采集IP报文头部的前60字节,数据格式如下图所示:
每3084047个报文存为一个文件。
接着所有报文都经过了匿名处理(IP地址前缀保留匿名化),匿名化后数据格式如下(图示 & C语言描述):
/* ipheader.ip_hl*4 > 20 && ipheader.ip_p == 6 */
struct trace_record_tcp_with_ip_option
{
struct timeval tv; /* 8 bytes */
struct ip ipheader; /* 20 bytes */
unsigned long option; /* 4 bytes */
struct tcphdr tcpheader; /* 20 bytes */
}
/* ipheader.ip_hl*4 > 20 && ipheader.ip_p != 6 */
struct trace_record_not_tcp_with_ip_option
{
struct timeval tv; /* 8 bytes */
struct ip ipheader; /* 20 bytes */
unsigned long option; /* 4 bytes */
union
{
struct udphdr udpheader; /* 8 bytes */
unsigned long long not_tcp_udp_header; /* 8 bytes */
}
}
/* ipheader.ip_hl*4 == 20 && ipheader.ip_p == 6 */
struct trace_record_tcp_without_ip_option
{
struct timeval tv; /* 8 bytes */
struct ip ipheader; /* 20 bytes */
struct tcphdr tcpheader; /* 20 bytes */
}
/* ipheader.ip_hl*4 == 20 && ipheader.ip_p != 6 */
struct trace_record_not_tcp_without_ip_option
{
struct timeval tv; /* 8 bytes */
struct ip ipheader; /* 20 bytes */
union
{
struct udphdr udpheader; /* 8 bytes */
unsigned long long not_tcp_udp_header; /* 8 bytes */
}
}
转换处理工具请看转换工具
© 江苏省计算机网络技术重点实验室,2008