Holy Grail PCAP
收藏github2026-05-03 更新2026-05-04 收录
下载链接:
https://github.com/SharonBrizinov/Holy-Grail-PCAP
下载链接
链接失效反馈官方服务:
资源简介:
Holy Grail PCAP是一个捕获文件,提供了几乎所有tcpdump/Wireshark封装类型和解析器的覆盖。这个pcap文件包含了触发几乎所有1,600多个Wireshark解析器代码流的包,涵盖了186种不同的链路层类型,包括蓝牙、USB、Wi-Fi (802.11)、IEEE 802.15.4、CAN总线、DOCSIS、帧中继、ATM、PPP、FDDI、令牌环、Linux Cooked Capture等。
Holy Grail PCAP is a capture file that provides coverage for nearly all encapsulation types and parsers supported by tcpdump and Wireshark. This pcap file contains packets that trigger the code paths of nearly all 1,600+ Wireshark parsers, covering 186 distinct link-layer types including Bluetooth, USB, Wi-Fi (802.11), IEEE 802.15.4, CAN bus, DOCSIS, Frame Relay, ATM, PPP, FDDI, Token Ring, Linux Cooked Capture, and more.
创建时间:
2026-04-11
原始信息汇总
好的,根据您提供的数据集详情页面地址和README文件内容,以下是该数据集的总结:
数据集概述:The Holy Grail PCAP
这是一个名为 “The Holy Grail PCAP” 的超大数据包捕获(PCAP)文件集,由 Sharon Brizinov 创建。该项目的核心目标是构建一个包含能够触发 Wireshark 工具中超过 1,600 个协议解析器 绝大多数代码路径的数据包集合。
核心特性
- 极致代码覆盖:该项目旨在通过最小数量的数据包,实现对 Wireshark 解析器最大程度的代码覆盖。每个数据包都经过筛选,确保其贡献了独一无二的代码路径。
- 广泛的封装类型:数据集不仅限于以太网流量,还涵盖了 186 种不同的链路层类型,包括蓝牙、USB、Wi-Fi (802.11)、CAN 总线、DOCSIS、帧中继、ATM、PPP 等。
- 文件格式:所有捕获文件均采用 pcapng(下一代 PCAP)格式,这是唯一能够在一个文件中支持多种链路层类型的格式。
- 配套工具:项目开发者提供了两个配套的开源工具:
- wirecov:用于测量 Wireshark 解析器代码覆盖率的工具。
- wirefuzz:一个针对 Wireshark 的模糊测试框架,旨在探索解析器的深度代码路径。
数据集统计信息
| 指标 | 数据 |
|---|---|
| 总文件大小 | 867.5 MB |
| 数据包总数 | 约 3,000,000 个 |
| 唯一协议栈 | 约 98,000 种 |
| 封装类型 | 186 种 |
代码覆盖率(默认配置下)
| 覆盖率类别 | 百分比 |
|---|---|
| 整体(默认) | ~63% |
| 基于 IP 的解析器(默认) | ~85% |
| 已激活的解析器(默认) | ~80% |
数据集文件结构
ALL_ENCAPS_HOLY_GRAIL_PACP.pcapng:主合并文件,包含 2,773,127 个数据包,横跨 115 种已知的封装类型。pcaps/encap_types/:目录,包含了为所有 186 种封装类型分别生成的独立 pcapng 文件。
主要用途
- 漏洞挖掘与安全研究:由于其广泛的代码覆盖能力,该数据集能高效地暴露 Wireshark 各个版本中潜在的零日漏洞。
- 代码覆盖率分析:与
wirecov工具结合,可以详细分析 Wireshark 解析器代码的测试覆盖情况。 - CI/CD 回归测试:可集成到持续集成/持续部署(CI/CD)流程中,作为回归测试,快速检测因代码更改引入的崩溃或解析错误。
- 压力与性能测试:超过 300 万个数据包使其成为对 Wireshark 及其他 pcapng 处理工具进行压力测试和性能基准测试的理想选择。
- 学习与研究:按封装类型分类的独立 pcapng 文件构成了一个丰富的协议样本库,适合用于学习和研究特定协议。
搜集汇总
数据集介绍
构建方式
该数据集的构建历经多阶段精细流程。首先,研究人员从Wireshark官方示例库、自动化捕获仓库及互联网多方渠道收集了数百个pcap/pcapng文件。随后,借助自主开发的代码覆盖工具wirecov,对收集的报文进行最小化处理并持续测量Wireshark解析器的代码覆盖率,精准识别未覆盖的代码路径。接着,运用同样自主研发的模糊测试框架wirefuzz,针对性地生成能够触及未覆盖路径的变异报文。对于模糊测试仍无法抵达的深层代码路径,则通过人工手动构造特定协议报文的方式予以补全。这一“收集-最小化-覆盖测试-模糊测试-人工构造”的迭代循环反复执行,直至覆盖率稳定在极致水平。最终,将经过严格筛选、仅保留对代码路径有独特贡献的报文合并,形成了涵盖186种链路层类型、包含约98,000个独特协议栈的单一巨型pcapng文件。
特点
该数据集最显著的特点在于其极致的覆盖广度与简洁性。它是目前已知最小的、能够触发Wireshark中超过1,600个协议解析器几乎所有代码路径的报文集合,整体代码覆盖率可达约63%,其中基于IP的解析器覆盖率高达85%。数据集囊括了从常见的以太网、Wi-Fi到小众的CAN总线、DOCSIS、蓝牙H4乃至Z-Wave等186种链路层封装类型,并全部采用支持多接口与逐报文封装的现代pcapng格式存储。每个报文的入选都经过了严格的覆盖测试与冗余剔除,确保无一浪费。此外,数据集作为一个强大的“协议挖掘”工具,已被用于发现数十个Wireshark零日漏洞,凸显了其在协议解析稳定性与安全性检测方面的独特价值。
使用方法
该数据集主要通过Wireshark的命令行工具tshark进行解析与使用。用户可克隆仓库并借助Git LFS下载庞大的pcapng文件。最基础的用法是直接使用`tshark -n -r`读取文件进行快速解析,推荐添加`-n`参数禁用DNS查询以避免性能瓶颈。针对不同应用场景,可灵活组合参数:通过`-2`启用两遍分析以获得更精确的协议重组与对话追踪;使用`-V`输出完整的解析树以细查每个协议字段;利用`-z expert`快速定位专家信息中的异常。若希望最大化单报文解析的代码覆盖,建议关闭TCP流重组与IP分片重组。该数据集同样适用于CI/CD回归测试,可在每次代码变更时运行以捕获新引入的崩溃或回归问题,亦可用于性能基准测试与学术研究中的协议分析教学。
背景与挑战
背景概述
Holy Grail PCAP是由安全研究员Sharon Brizinov于2024年创建的一项里程碑式数据资源,旨在系统性地提升Wireshark协议解析器(dissector)的代码覆盖率。该项目历经数月迭代,融合了来自Wireshark官方样本库、自动化捕获仓库及互联网中广泛来源的数百份pcapng文件。其核心目标是通过构建一个包含超过1600个解析器代码路径、覆盖186种链路层封装类型的最小化数据包集合,来实现对Wireshark解析器代码库的最高效测试与评估。该数据集不仅涵盖了从以太网、Wi-Fi、蓝牙、USB到CAN总线、DOCSIS等传统与现代网络协议,还囊括了67种未知数据链路类型(DLT)及边界情况,为网络协议逆向工程、漏洞挖掘与软件质量保障提供了前所未有的测试基准。其开源工具链(wirecov与wirefuzz)的配套开发,进一步强化了其在覆盖度分析与自动化测试领域的深远影响力。
当前挑战
该数据集面临的挑战主要体现为两大层面。在领域问题层面,网络协议解析器作为复杂软件系统,其代码路径的碎片化与深度嵌套特性,使得传统基于单协议或少量样本的测试方法难以触及潜伏在边缘条件下的漏洞与崩溃。Holy Grail PCAP通过汇聚3百万余数据包、约9.8万种独特协议栈,试图解决这一覆盖盲区,但仅约63%的整体默认覆盖度表明仍有大量解析器代码未经测试,尤其是非激活解析器与自定义标志位相关的路径。在构建过程中,挑战同样严峻:首先,从海量异构源中筛选并合成覆盖186种封装类型的有效数据包,需反复进行最小化与覆盖率测试的迭代循环;其次,通过手工构造与模糊测试(fuzzing)生成能触发深层代码路径的数据包,要求对Wireshark内部协议状态机有深入理解;最后,面对pcapng格式的多接口、多封装支持需求,不得不应对文件大小达867.5 MB、合并困难与存储版本控制(Git LFS)等工程技术瓶颈。
常用场景
经典使用场景
Holy Grail PCAP最经典的使用场景在于对Wireshark协议解析器进行全面的代码覆盖测试。该数据集汇聚了超过1600个Wireshark解析器的代码触发路径,通过对约300万个数据包、186种链路层封装类型以及约98,000个独特协议栈的精心编排,为评估解析器的健壮性与完整性提供了无与伦比的测试基准。研究者和开发者可借助该PCAP文件,在极短时间内验证几乎所有解析器分支的覆盖情况,从而取代传统的手工构造或仅针对单一协议的小规模测试方法,显著提升测试效率与深度。
实际应用
在实际应用中,Holy Grail PCAP被广泛集成于Wireshark及其相关工具的持续集成与持续交付(CI/CD)流水线,作为回归测试的关键组件。每次代码提交或版本构建后,自动执行该PCAP文件可即时捕获因修改引发的崩溃、内存泄漏或解析异常,有效防止新引入的缺陷影响到多达186种封装类型的协议处理。此外,该数据集在漏洞赏金研究与安全审计中扮演重要角色,研究人员利用其对未公开的解析器进行压力测试,快速暴露潜在的安全弱点,从而在正式发布前完成修复,保障网络监控工具链的稳定与安全。
衍生相关工作
Holy Grail PCAP的诞生催生了多项衍生工作,最具代表性的是配套开发的wirecov和wirefuzz工具。wirecov通过对Wireshark源码进行插桩,生成细粒度的解析器代码覆盖率报告,使得研究者能够量化测试深度并精准发现覆盖盲区。wirefuzz则采用覆盖引导的模糊测试策略,以该PCAP中的单封装类型文件作为高质量种子,定向变异生成探索深层代码路径的恶意数据包,将漏洞挖掘从随机尝试提升至系统化攻击面探测。这些衍生产物共同构成了从覆盖分析到漏洞触发的完整研究生态,为协议解析器的安全性评估提供了标准化方法论。
以上内容由遇见数据集搜集并总结生成
