Python分析数据量较大的pcap包

已于 2024-01-21 17:56:58 修改
阅读量1k 收藏 23
点赞数 17
文章标签: python
于 2024-01-21 17:55:59 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Crazy177/article/details/135731732
版权

在工作中,测试Phy实际数据速率时,需要对设备实际发出的数据进行报文数据量统计。最初按照以往的项目经验,以及scapy对于报文解析比较友好,使用python的scapy进行脚本的编辑。但是实际使用发现,对于单个大数据包(单个1G附近)的报文分析,耗时较长,总共数据分析完需要数十分钟,无法满足实际验证需求。

在一番搜索后,使用dpkt模块会极大加快处理速度,从而将此次解决进行分享。

耗时较长的原因是scapy的rdpcap在读取报文时,会将整个文件都加载到内存,这个是最耗时的部分,而且当Tester的内存不足时,也会造成异常。(之前在rdpcap读取文件后,自己进行了迭代器的处理,但是依旧耗时的原因)

dpkt则是依次读取每条报文进行分析(迭代器),相比而言,不需要加载大量数据到内存,减少了处理时间。

dpkt使用

官方链接

dpkt — dpkt 1.9.2 documentation

dpkt | fast, simple packet creation / parsing, with definitions for the basic TCP/IP protocols

import dpkt

file_path = '\xxx\xxx\xx.pcap'

def handle_pcap(pcap_obj):
    for ts,buffer in pcap_obj:
        #ts为报文的时间戳
        #buffer为报文实际的数据(Ethernet层以及上层数据)
        print(f'the current message timestamp is {ts}')
        print(f'the current message length is {len(buffer)}')

def my_test_dpkt(file_path):
    with open(file_path,'rb) as file:
        pcap = dpkt.pcap.Reader(file)
        print_packets(pcap)

if __name__ == '__main__':
    my_test_dpkt(file_path)

注意:使dpkt.pcap.Reader(file)时必须保证file句柄没有被关闭(如果将dpkt.pcap.Reader(file)放于with上下文管理器外,就会导致file已经被关闭,从而导致dpkt报错)。上文代码将其放在with结构中可以避免,如果单独进行文件的操作,一定记得关闭文件。

解析ethernet层数据、参数

for ts,item in pcap:
    ether_pcaket = dpkt.ethernet.Ethernet(item)
    # 解析ethernet层数据

获取IP层数据

import socket

if not hasattr(ether_packet,'ip'): continue #判断报文是否为IP报文
ip_proto = ether_packet.data.p # 获取ip层里面的协议字段
src_ip = socket.inet_ntop(socket.AF_INET,ether_packet.data.src) #获取srcip
#判断报文是否为UDP,其余类似
if ip_proto  == dpkt.ip.IP_PROTO_UDP:
    #获取UDP payload
    udp_layer_data = ether_packet.data.udp.data
    #如果想获取指定序号,可以直接按索引获取即可
    data1 = udp_layer_data[1:2]

最好的获取各层数据的方法,可以在遍历所有报文(上述代码的循环结构中)时打断点查看每个报文具有的属性,可以获取到对应的数据访问方法,也可参考官方文档的API

实际效果:

使用scapy全部处理时长为数十分钟,使用dpkt处理时间为40s左右,优化效果明显。

使用时遇到问题解决:

如果在dpkt使用中出现 Invalid tcpdump header报错,是因为文件格式不对。pcap和pcapng前四个字节不同,这可以查询dpkt源代码确认。dpkt.pcap.Reader()仅支持pcap格式。

Github链接:

https://github.com/kbandla/dpkt/blob/master/dpkt/pcap.py

如果将pcapng直接修改后缀为pcap,也会报该错误。

如何解决

方法1:

重新抓包,保存时一定注意保存格式为pcap

方法2:

使用wireshark重新打开包,另存为pcap

方法3:

ubuntu下可以使用如下指令进行格式的修改:

editcap -F libpcap -T ether fault_file_type.pcap right_file_type.pcap

# fault_file_type.pcap格式错误的文档
# right_file_type.pcap正确格式的新文件名

方法4:

使用dpkt.pcapng.Reader()进行pcapng文件的读取分析。

 Github链接:

https://github.com/kbandla/dpkt/blob/master/dpkt/pcapng.py

Crazy177
关注
  • 17
    点赞
  • 23
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
python保存为pcap文件并解析的实例
09-19
今天小编就为大家分享一篇python保存为pcap文件并解析的实例,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
Python处理pcap文件
qq_36450004的博客
07-14 4551
利用python处理pcap文件
pcap详解
10-01 6598
pcap格式及API详解
解析 pcappcapng 时间戳打印(python)---亲测有效
最新发布
m0_63902994的博客
02-19 668
现在自动驾驶领域越来越多的采用someip协议进行信号的传递。wireshark抓后,不利于数据进行数据的后处理,所以需要用python对数据进行解析。从一个pcap网络数据包捕获文件中提取时间戳,并将这些时间戳保存到一个Excel文件中。代码首先创建了一个新的Excel工作簿,然后遍历pcap文件中的每个数据包。对于每个数据包,它检查以太网帧的源和目的MAC地址,如果匹配指定的地址,它会继续解析IP层和TCP层(如果存在的话),然后提取时间戳并将其添加到Excel工作表中。
python-pcapng wireshark 解析
weifengdq的专栏
06-09 5902
目录背景环境配置处理微信公众号 背景 Ubuntu上写程序, UDP发给MCU, 长度51字节, 10ms/帧, MCU如果100ms内收不到, 就报出UDP Lost错误. 同事甩给我这个录了40分钟的wireshark的pcapng格式的, 大概3.6GB, 要分析下UDP丢帧问题, 用wireshark打开不得了, 整整500多万行. 好家伙… 环境配置 Win10, Python3.9.4, 64bit. 安装pcapng的一个: pip install python-pcapng 参考:
Python 读入VLP-16 pcap数据包
09-24
python 读入vlp—16的pcap数据包,可进行解,并利用open3d进行显示点云,如果读入大量点云,需对open3d的显示模块进行更改。 也可不显示,直接得到所有点云坐标
pcap解析
txb0504的博客
04-02 1万+
pacp解析 在接触激光雷达的时候,不可避免的第一步就是看硬件说明书以及调试厂商发的样例数据。一般情况下,厂商在存储硬件的数据包的时候,都是通过存储pacp实现的,所以如何读取pacp,并从中解析出真正有用的数据就变得很重要,接下来我们一步步讲。 1.pacp结构 一个Pcap文件括“Pcap报头”,“数据区”两个部分,其中数据区又分成多个数据包,每个有报头和数据两个部分,总体结构可见...
pcap文件解析
qq_40878398的博客
08-18 1万+
pcap文件解析 1. pcap简介: pcap文件是一种常用的数据报存储文件,这种文件可以保存我们所抓到的报文。它有这固定的存储格式,通过notepad++中的插件Hex-Editor我们可以观察其中的16进制数据,从而来进行pcap文件分析。 2. Pcap文件格式: pcap文件格式如图所示: 以24字节的Pcap Header开头: 随后跟上每一个报文的相关信息: Packet Header:记录报文信息 Packet Data:记录报文数据 3. pcap Header // pc
Pcap头与负载解析,制作数据集
weixin_45154431的博客
11-24 3321
pcap文件是常用的数据报存储格式,可以理解为就是一种文件格式,只不过里面的数据是按照特定格式存储的,所以我们想要解析里面的数据,也必须按照一定的格式。普通的记事本打开pcap文件显示的是乱码,用安装了HEX-Editor插件的Notepad++打开,能够以16进制数据的格式显示,用wireshark这种抓工具就可以正常打开这种文件,愉快地查看里面的网络数据报了,同时wireshark也可以生成这种格式的文件。当然这些工具只是我经常使用的,还有很多其它能够查看pcap文件的工具。
Pcap文件详解
辞树
11-29 1万+
pcap文件是常用的数据报存储格式,可以理解为就是一种文件格式,只不过里面的数据是按照特定格式存储的,所以我们想要解析里面的数据,也必须按照一定的格式。普通的记事本打开pcap文件显示的是,用安装了HEX-Editor插件的Notepad++打开,能够以16进制数据的格式显示,或者使用sublime打开以十六进制的格式显示。用wireshark这种抓工具就可以正常打开这种文件,愉快地查看里面的网络数据报了,同时wireshark也可以生成这种格式的文件。还有一些其他网络分析工具。
解析pcap文件,逐步认识tcp/ip协议栈
保持敏锐,保持进化。
07-10 4823
通过解析pcap初步认识协议栈
python分析pcap
12-04
利用Python快速分析数据包的完整性,提示数据包缺少步骤,按照源端口目的端口ip和目的ip进行分流
python 读取修改pcap的例子
09-19
今天小编就为大家分享一篇python 读取修改pcap的例子,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
pcapng文件python解析实例以及抓补遗
热门推荐
Netfilter
07-23 2万+
正文为了弥补pcap文件的缺陷,让抓文件可以容纳更多的信息,pcapng格式应运而生。关于它的介绍详见《PCAP Next Generation Dump File Format》        当前的wireshark/tshark抓取的默认都被保存为pcapng格式。        形而上的论述就不多谈了,直接给出一个pcapng数据包文件的例子:然后我强烈建议,对着《PCAP Next
python解析pcap文件中的http数据包
python学习者的博客
06-27 4746
使用scapy、scapy_http就可以方便的对pcap中的http数据包进行解析 scapy_http可以在https://github.com/invernizzi/scapy-http下载,该地址下也给出了简单的示例程序,按照此示例程序我修改了一个输出pcap中http的源目的地址、payload的小程序,如下所示: 其中,p为数据包,scapy_http将其分为: ...
Python scapy抓、定义回调函数,自动生成多个pcap文件
captain
05-30 1129
【代码】Python scapy抓、定义回调函数,自动生成多个pcap文件
pcap文件分析
weixin_50311553的博客
01-12 7508
pcap文件格式的解析
Python解析PCAP文件
xiangxue888的博客
11-30 3273
Python解析PCAP文件
pcap文件中解析网络数据包
qq_29022265的博客
06-12 9228
pcap文件解析1:pcap文件格式2:从pcap文件中读取以太网数据包3:c语言代码实现4 参考链接: 1:pcap文件格式 pcap文件主要含了三个部分,pcap文件头,数据包头,数据包内容。在磁盘上的存储格式为 文件头 + 数据包头[0] + 数据包内容[0] + 数据包头[1] + 数据包内容[1] + … +数据包头[N] + 数据包内容[N] 每一部分含的内容如下 Pcap文件...
python使用scapy分析pcap获取子域名
04-30
使用 Scapy 分析 pcap 获取子域名可以通过以下步骤实现: 1. 导入 Scapy 库和 re 正则表达式库。 ```python from scapy.all import * import re ``` 2. 读取 pcap 文件并解析出 DNS 。 ```python pcap = rdpcap('dns.pcap') dns_packets = pcap.filter(lambda x: x.haslayer(DNS)) ``` 3. 定义一个函数来解析 DNS 并获取子域名。 ```python def get_subdomains(dns_packets): subdomains = set() for packet in dns_packets: if packet.haslayer(DNSRR): for rdata in packet.getlayer(DNSRR).rdata: subdomain = re.findall(r'\w+\.?\w+\.\w+', str(rdata)) if subdomain: subdomains.add(subdomain[0]) return subdomains ``` 4. 调用函数获取子域名。 ```python subdomains = get_subdomains(dns_packets) ``` 完整代码如下: ```python from scapy.all import * import re def get_subdomains(dns_packets): subdomains = set() for packet in dns_packets: if packet.haslayer(DNSRR): for rdata in packet.getlayer(DNSRR).rdata: subdomain = re.findall(r'\w+\.?\w+\.\w+', str(rdata)) if subdomain: subdomains.add(subdomain[0]) return subdomains pcap = rdpcap('dns.pcap') dns_packets = pcap.filter(lambda x: x.haslayer(DNS)) subdomains = get_subdomains(dns_packets) print(subdomains) ```

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值