Great question—since you're already working with libpcap to parse pcap files, understanding how Wireshark handles frame arrival times will align perfectly with your workflow. Let's break this down step by step:

1. 核心依赖：pcap文件的原生时间戳 #

Wireshark不会重新计算帧的到达时间，它的时间数据完全来自pcap文件（或实时抓包时）由libpcap生成的原生时间戳。当抓包工具（包括Wireshark和你的libpcap程序）捕获以太网帧时，会自动在帧头部记录两个关键值：

• ts.tv_sec：从Unix纪元（1970-01-01 00:00:00 UTC）开始的整秒数
• ts.tv_usec：额外的微秒数（现代系统中可能是纳秒，取决于抓包时的精度配置）

这两个值被打包在struct pcap_pkthdr结构体里，是Wireshark时间计算的唯一数据源。

2. Wireshark的时间处理逻辑 #

Wireshark做的只是对原生时间戳做格式转换和显示调整，具体步骤如下：

• 解析pcap帧头的时间戳结构体，拿到原始UTC时间
• 根据用户设置的显示模式（比如绝对时间、相对第一帧的时间差、相对前一帧的时间差等），对原始时间戳进行换算
• 将换算后的时间转换为人类可读的字符串展示在界面上

举个例子：如果你在Wireshark里选择View > Time Display Format > Absolute Time with Date，它就是把ts.tv_sec + ts.tv_usec/1e6转换成对应的日期时间字符串；如果选Relative to First Packet，它会用当前帧时间戳减去第一帧时间戳，得到相对差值。

3. 对你的libpcap程序的参考价值 #

既然你用libpcap处理pcap文件，完全可以复用Wireshark的核心逻辑：

• 通过pcap_next_ex()读取每个帧的struct pcap_pkthdr，其中的ts字段就是Wireshark依赖的原生时间戳
• 如果你需要和Wireshark完全一致的到达时间，只需要对这个时间戳做相同的格式转换即可

这里给一个简单的C代码片段，演示如何提取并转换时间戳：

#include <pcap.h>
#include <time.h>
#include <stdio.h>

int main() {
    char errbuf[PCAP_ERRBUF_SIZE];
    pcap_t *handle = pcap_open_offline("your_capture.pcap", errbuf);
    if (!handle) {
        fprintf(stderr, "Couldn't open pcap file: %s\n", errbuf);
        return 1;
    }

    struct pcap_pkthdr header;
    const u_char *packet;
    while ((packet = pcap_next(handle, &header)) != NULL) {
        // 提取原始时间戳
        time_t sec = header.ts.tv_sec;
        suseconds_t usec = header.ts.tv_usec;

        // 转换为和Wireshark一致的绝对时间格式（本地时区）
        char time_str[64];
        struct tm *tm_info = localtime(&sec);
        strftime(time_str, sizeof(time_str), "%Y-%m-%d %H:%M:%S", tm_info);
        printf("Frame arrival time: %s.%06ld\n", time_str, (long)usec);
    }

    pcap_close(handle);
    return 0;
}

4. 关键注意事项 #

• 时间精度：如果pcap文件是用纳秒精度捕获的（比如Linux下用pcap_set_tstamp_precision()配置），时间戳会是struct timespec类型，需要处理tv_nsec字段，转换时除以1e9
• 时区问题：Wireshark默认显示本地时间，若要和它的UTC显示一致，把代码中的localtime()换成gmtime()即可
• 系统时钟同步：实时抓包时，务必保证系统时钟准确，否则时间戳会出现偏差——Wireshark和libpcap都依赖系统时钟生成时间戳

内容的提问来源于stack exchange，提问作者netleap tom