python使用pyshark

最新推荐文章于 2024-08-29 23:28:55 发布
最新推荐文章于 2024-08-29 23:28:55 发布
阅读量2.4k 收藏 8
点赞数 2
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Liquor6/article/details/112095634
版权 
import pyshark


class wireshark_analysis_script():
    # 此函数的作用是封装一下pyshark.FileCapture
    def read_packets_from_file(self, packets_file_path, tshark_path, display_filter):
        packets_file_obj = pyshark.FileCapture(input_file=packets_file_path, tshark_path=tshark_path, display_filter=display_filter)
        return packets_file_obj




    # 此函数的作用是从传送过来的所有数据包中,抽取并返回{ip_server,ip_client,port_server,port_client}四元组
    def get_target_client_ip_port(self, packets_file_obj):
        for tmp_packet in packets_file_obj:
            ip_server = tmp_packet.ip.src
            port_server = tmp_packet.tcp.srcport
            ip_client = tmp_packet.ip.dst
            port_client = tmp_packet.tcp.dstport
            stream_value = tmp_packet.tcp.stream
            yield {"ip_server": ip_server, "port_server": port_server, "ip_client": ip_client, "port_client": port_client,"stream_value":stream_value}

    # 保存过滤后的pcap包
    def save_file_pcap(self,packets_file_obj,output_file):

        pac = pyshark.FileCapture(input_file=packets_file_obj,output_file=output_file)
        print("输出为",pac)

    # 此函数的作用是读取传过来的所有数据包应用层的数据,并打印
    def follow_tcp_stream(self, packets_file_obj, ip, port):
        # print(66666,packets_file_obj,type(packets_file_obj))

        for tmp_packet in packets_file_obj:
            # print(55,tmp_packet,type(tmp_packet))
            highest_layer_name = tmp_packet.highest_layer
            # print(444,highest_layer_name)
            #追踪流时会有握手挥手tcp将其排除
            if highest_layer_name != "TCP":
                if ((tmp_packet.ip.dst == ip) and (tmp_packet.tcp.dstport == port)):
                    print("server(%s:%s)->client(%s:%s): %s" % (tmp_packet.ip.src, tmp_packet.tcp.srcport, tmp_packet.ip.dst, tmp_packet.tcp.dstport, tmp_packet[highest_layer_name].get_field('data')))
                elif ((tmp_packet.ip.src == ip) and (tmp_packet.tcp.srcport == port)):
                    print("client(%s:%s)->server(%s:%s): %s" % (tmp_packet.ip.src, tmp_packet.tcp.srcport, tmp_packet.ip.dst, tmp_packet.tcp.dstport, tmp_packet[highest_layer_name].get_field('data')))


if __name__ == '__main__':
    # 要读取的wireshark数据包的所在的路径
    packets_file_path = r'C:\Users\Administrator\Desktop\xmpp1122.pcap'
    # tshark程序所在的路径,tshark随wireshark安装
    tshark_path = 'D:\\rj\\Wireshark\\tshark.exe'
    # 过滤器表达式,与在wireshark中使用时的写法完全相同
    # first_step_filter = 'telnet contains "HiLinux"'
    first_step_filter = 'xmpp'
    # 用于存放要追踪流的ip和端口
    target_client_ip_port = []

    output_file = r"test_p.pcap"


    # 实例化类
    wireshark_analysis_script_instance = wireshark_analysis_script()

    wireshark_analysis_script_instance.save_file_pcap(packets_file_obj,output_file)

    # 使用first_step_filter过滤器表达式,过滤出要追踪流的数据包
    first_step_obj = wireshark_analysis_script_instance.read_packets_from_file(packets_file_path, tshark_path, first_step_filter)
    # 从要追踪流的数据包中抽取出ip和端口
    target_client_ip_port = wireshark_analysis_script_instance.get_target_client_ip_port(first_step_obj)
    # print(333,target_client_ip_port)
    first_step_obj.close()
    # 遍历要追踪流的ip+端口组合
    for target_client_ip_port_temp in target_client_ip_port:
        # stream的值
        stream_value = target_client_ip_port_temp['stream_value']
        ip_client = target_client_ip_port_temp['ip_client']
        port_client = target_client_ip_port_temp['port_client']
        # tcp.stream eq 70形式。为了排除tcp其实可以再直接加上and telnet
        second_step_filter = 'tcp.stream eq %s' % (stream_value)
        # print(22,second_step_filter)
        second_step_obj = wireshark_analysis_script_instance.read_packets_from_file(packets_file_path, tshark_path, second_step_filter)
        # print(11,second_step_obj)
        # print("[%s:%s]" % (ip_client, port_client))
        # 调用follow_tcp_stream将认为是同一个流的所有数据包的应用层数据打印
        wireshark_analysis_script_instance.follow_tcp_stream(second_step_obj, ip_client, port_client)
        print(wireshark_analysis_script_instance.follow_tcp_stream(second_step_obj, ip_client, port_client))
        second_step_obj.close()
Liquor6
关注
Python wireshark抓包及分析
youyouxiong的博客
04-29 2159
Wireshark 是一款功能强大的网络协议分析工具,它可以捕获和分析网络上的数据包。Python 可以通过第三方库如pyshark来调用 Wireshark 或其命令行工具tshark,实现数据包的抓取和分析。
Python3+pyshark捕获数据包并保存为文件
weixin_34018202的博客
10-10 2664
一、直接使用wireshark捕获数据包并保存为文件 可以使用wireshark通过图形界面的操作来实现捕获数据包并保存为文件。 wireshark默认捕获的数据包保存为临时文件,如果最后退出时不选择保存那么临时文件将会被删除。 可以在“菜单栏----捕获----选项----输出”窗口进行配置,指示wireshark直接将捕获结果保存为文件。 文件----数据包要保存到的文件 输出格式----数据...
python使用 pyshark 库捕获数据包,附示例
最新发布
weixin_45498884的博客
08-29 1319
以下为您提供使用 Python 的 pcap 库捕获网络数据包的示例及相关信息:在 Python 中,可以使用 pcap 库来实现网络数据包的捕获。另外,通过安装相关依赖和库,如等,还可以实现更复杂的抓包和处理功能。希望以上内容对您有所帮助。
python pyshark做网络抓包分析并做规则匹配
qq_41122834的博客
06-29 1690
import netifaces import queue import pyshark, threading #关键字 kewords = ['www.baidu.com','mp.csdn.net',''] def net_list(): nets = netifaces.interfaces() def net_detail(net): return netifaces.ifaddresses(net) return nets q = queue.Queue
pythonpyshark抓包
weixin_43842848的博客
05-31 621
pyshark
PyShark 教程
gitblog_00319的博客
08-09 715
PyShark 教程 pysharkPython wrapper for tshark, allowing python packet parsing using wireshark dissectors项目地址:https://gitcode.com/gh_mirrors/py/pyshark 1. 项目介绍 PyShark 是一个Python库,它提供了一个方便的接口来使用Wireshark...
pyshark-legacy:用于tsharkPython包装器,允许使用Wireshark Dissectors(Python2旧版)解析python数据包
05-10
该存储库适用于pyshark的旧版本,该版本可在Python2.7 +上运行。 它仅在版本0.3.8之后收到错误修复。 对于仅在Python 3.5+上受支持的新版本,请使用 用于tsharkPython包装器,允许使用Wireshark Dissector解析...
python3x wireshark_Python3+pyshark捕获数据包并保存为文件
weixin_39752352的博客
12-22 620
一、直接使用wireshark捕获数据包并保存为文件可以使用wireshark通过图形界面的操作来实现捕获数据包并保存为文件。wireshark默认捕获的数据包保存为临时文件,如果最后退出时不选择保存那么临时文件将会被删除。可以在“菜单栏----捕获----选项----输出”窗口进行配置,指示wireshark直接将捕获结果保存为文件。文件----数据包要保存到的文件输出格式----数据包保存成的...
python读取数据流_python3+pyshark读取wireshark数据包并追踪telnet数据流
weixin_39860064的博客
12-01 1474
一、程序说明本程序有两个要点,第一个要点是读取wireshark数据包(当然也可以从网卡直接捕获改个函数就行),这个使用pyshark实现。pyshark是tshark的一个python封装,至于tshark可以认为是命令行版的wireshark,随wireshark一起安装。第二个要点是追踪流,追踪流在wireshark中是“tcp.stream eq 70”之类的形式,但是70这类值暂是不知道...
python调用wireshark_在python中调用wireshark lua脚本插件-既pyshark使用方法
weixin_39718083的博客
02-04 1513
Wireshark 提供了Lua API 来按需处理和分析报文,如何使用wireshark插件来分析和处理报文,我在前面的文章中或多或少的都有提及,当然我在这里也做了较为全面的说明,可以参考下。在编写完lua脚本之后,需要利用tshark来加载该脚本。如果需要全自动的执行,显得不是特别友好,当然可以在shell脚本中进行启动。除此之外,还可以在python中调用lua插件以及传递参数。近期我在gi...
traffic-analysis:使用Pysharktshark进行流量分析
04-02
用法示例 要分析包含设备和服务器之间流量的pcap文件,请指定其路径和IP地址: ./pcap_analysis.py --pcap trace-mup-PUB-UPDATE-IMAGE.pcap --device-addr 00:12:4b:00:04:13:3d:f0 --broker-addr 00:12:4b:00:04:13:36:c1 要分析应用程序层有效负载,请另外指定要使用的有效负载分析器模块的名称: --payload-analyser myno 要使用特定的tshark二进制文件和MQTT版本,请另外指定二进制文件的路径和版本: --tshark /home/vagrant/iot/wireshark-3.3.0rc0-1711-gc099892700eb/build/run/tshark --mqtt-version 5.0 注意:首选项“ mqtt.de
fatt:FATT FingerprintAllTheThings-基于pyshark的脚本,用于从pcap文件和实时网络流量中提取网络元数据和指纹
02-05
66 61 74 74 2e 指纹所有的东西! 有关指纹方法,样本用例和研究结果的更多信息将很快添加到存储库中。 敬请关注! 用于从数据包捕获文件(pcap)或实时网络流量中提取网络元数据和指纹(例如和的脚本。 主要用例用于监视蜜罐,但您也可以将其用于其他用例,例如网络取证分析。 fatt可在Linux,macOS和Windows上运行。 请注意,fatt使用pyshark(tsharkpython包装器),因此性能不佳! 但这不是一个大问题,因为显然这不是您在生产中使用的工具。 对于更严重的用例,您可以使用其他网络分析工具,例如 , 或 。 是可用于捕获和分析网络流数据的另一种出色工
python中调用wireshark lua脚本插件-既pyshark使用方法
村中少年的专栏
09-02 4838
python中调用wireshark lua 脚本,pyshark使用方法,在python中直接利用wireshark提供的报文信息
python抓包 -- 用wireshark抓包、解析--scapyPyShark
weixin_45939263的博客
12-11 8075
只捕获源地址为192.168.1.125且目的端口为80的流量:src host 192.168.1.125 && dst port 80。prn: 定义回调函数,使用lambda表达式来写回调函数(当符合filter的流量被捕获时,就会执行回调函数)只捕获某个MAC地址主机的交互流量:ether src host 00:87:df:98:65:d8。只捕获来源于某一IP的主机流量:src host 192.168.1.125。只捕获除80端口以外的其他端口流量:!只捕获80端口的流量:port 80。
Pyshark——安装、解析pcap文件
计算机硕士的博客
06-16 1762
Pyshark——安装、解析pcap文件。
pyshark使用教程
airen的博客
05-26 8664
安装 pip install pyshark 使用 例如:分析现有的pcap文件: import pyshark pcap = pyshark.FileCapture("test1.pcap", tshark_path="/Applications/Wireshark.app/Contents/MacOS/tshark") 两个参数分别指定输入文件和 tshark 路径 然后,就可以使用循环遍历pcap文件(也可以使用下标): for p in pcap: print(p) 输出的结构和wi
PyShark 项目使用教程
gitblog_01176的博客
08-09 556
PyShark 项目使用教程 pysharkPython wrapper for tshark, allowing python packet parsing using wireshark dissectors项目地址:https://gitcode.com/gh_mirrors/py/pyshark 1. 项目的目录结构及介绍 PyShark 是一个基于 Wireshark 的 tshark...
python3+pyshark读取wireshark数据包并追踪telnet数据流
weixin_34149796的博客
07-10 2541
一、程序说明 本程序有两个要点,第一个要点是读取wireshark数据包(当然也可以从网卡直接捕获改个函数就行),这个使用pyshark实现。pyshark是tshark的一个python封装,至于tshark可以认为是命令行版的wireshark,随wireshark一起安装。 第二个要点是追踪流,追踪流在wireshark中是“tcp.stream eq 70”之类的形式,但是70这类值暂是不...
如何使用Python Wireshark进行数据包分析?
04-10
4. 使用PyShark解析数据包:在Python脚本中导入PyShark库,并使用`FileCapture`类来打开Wireshark捕获的数据包文件。然后,你可以使用PyShark提供的方法和属性来解析和分析数据包。 5. 分析数据包:一旦你成功解析...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值