擅长:python、mysql、java
<blockquote>
<p>Is there anyway for scapy to give better/more precise information?</p>
</blockquote>
<p>仅当您正在读取的pcap文件具有更高精度的时间戳时。在</p>
<p>对于使用tcpdump创建的捕获文件,它必须使用tcpdump 4.6或更高版本捕获,并与libpcap 1.5或更高版本链接,并使用<code> time-stamp-precision nano</code>作为tcpdump的选项进行捕获。否则,文件中的时间戳的精度只有微秒。在</p>
<p>您必须从vmnet sniffer查看捕获文件的前4个字节,以查看其时间戳是否具有纳秒精度(相同的测试将对tcpdump的捕获起作用)。如果前4个字节是A1 B2 C3 D4或D4 C3 B2 A1,则文件中的时间戳没有纳秒精度;如果它们是A1 B2 3C 4D或4D 3C B2 A1,则它们有。在</p>
<p>如果scapy使用libpcap读取pcap文件(libpcap有Python包装器),那么它还必须使用特殊的api来请求libpcap<em>提供</em>纳秒分辨率的时间戳(为了向后兼容,默认情况下libpcap将,纳秒级和纳秒级的时间戳读取文件时,甚至放弃纳秒级的时间戳)。如果它使用自己的代码来读取它们,那么代码必须知道纳秒级的时间戳。在</p>