python 读取 pcap文件并分析(附源码)

最新推荐文章于 2024-05-29 22:10:22 发布
最新推荐文章于 2024-05-29 22:10:22 发布
阅读量8.2k 收藏 35
点赞数 3
分类专栏: 网络 文章标签: python 网络 wireshark
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ZhangWanyu_/article/details/108538954
版权

上一篇博客可以看到pcap文件的格式,前面24字节是不用管的,而每一个数据包前都有16字节的说明,其中第8-11字节是caplen字段,也就是这个数据包的长度信息,不包含这16个字节。我们打开文件读取时可以直接seek()到第32(24+8)字节,去读取第一个数据包的长度,然后再回退12个字节,读取(caplen+16)个长度,作为整个数据包的数据。

读取之后的数据包时,用同样的方法先向后 seek 8个字节,读取caplen后在回退12个字节,读取(caplen+16)的长度,即为数据包数据。

读取pcap文件

用open()、read()就可以读取pcap文件,但注意open时要用'rb'模式

import struct

fd_read = open(read_path, 'rb')
fd_read.seek(32, 0)                         # skip pcap head and packet head
len_sec = fd_read.read(4)          # caplen
if not len_sec:              # read fail or zero
    break

转码

读取到caplen后,需要对数据进行格式转换,原本是类似 b'\xde\x3d'的格式,我们的目的是16进制数,所以用到struct模块中的unpack()函数

seclen = struct.unpack('i', len_sec)
caplen = seclen[0] & 0xFFFFFFFF

struct.unpack()的参数中,第一个是指解码的模式,有很多种,需要的可以自行查看,但是有一个大小端的问题,这里涉及到了,如果使用'i'(感叹号加小写字母i),那么得到的数据包packet串就会是逆序的16进制数的排列,如原本应是“68 ca e4 e6”,会变成“e6 e4 ca 68”。而在读取数据包前16字节的说明字段时,只有不加感叹号才能得到正确的caplen和时间戳。

具体细节就不多说了,更多的都是简单的处理,可以在评论区交流

#! /usr/bin/env python3
import getopt
import sys
import struct
import re


def symbol_split(ss):
    if "&" in ss:
        cdt = ss.split('&')
    else:
        cdt = [ss]
    return cdt


def compare_operate(filter, packet):
    result = 1
    for ft in filter:
        ft_item = ft.
最低0.47元/天 解锁文章
扶栏笑看花满园
关注
  • 3
    点赞
  • 35
    收藏
    觉得还不错? 一键收藏
  • 8
    评论
专栏目录
python分析pcap文件_Python-对Pcap文件进行处理,获
weixin_39802969的博客
11-30 1244
通过对TCP/IP协议的学习,本人写了一个可以实现对PCAP文件中的IPV4下的TCP流提取,以及提取指定的TCP流,鉴于为了学习,没有采用第三方包解析pcap,而是对bytes流进行解析,其核心思想为:若想要提取TCP Content,需在下层的IPV4协议中判断Protocol是否为TCP,然后判断下层的以太网协议的Type是否为IPV4协议(此处的IPV4判断,只针对本人所写项目);对于指定...
Python-对Pcap文件进行处理,获取指定TCP流
weixin_30929295的博客
08-26 1491
通过对TCP/IP协议的学习,本人写了一个可以实现对PCAP文件中的IPV4下的TCP流提取,以及提取指定的TCP流,鉴于为了学习,没有采用第三方包解析pcap,而是对bytes流进行解析,其核心思想为:若想要提取TCP Content,需在下层的IPV4协议中判断Protocol是否为TCP,然后判断下层的以太网协议的Type是否为IPV4协议(此处的IPV4判断,只针对本人所写...
[Python] 解析Pcap三个Python库(Dpkt Scapy Pyshark)应用实例
coderge's CSDN Blog.
06-10 1万+
如果要处理pcap文件python有仨库比较有名(如果有传输层的话) 包含以下信息。 Pyshark Or Wireshark 如果只是想要所有packet的[src_IP, dst_IP, src_MAC, dst_MAC, Protocol, TimeStamp, Info]等信息,可以直接打开Wireshark导出这个操作也可以用Pyshark库完成。 使用 PyShark 和 scapy 从 pcap 文件读取字段并填充 CSV pcap 中的每个数据包都呈现到 csv 文件的一行中。要提取的特
python 读取pcap文件,并根据筛选条件,读取udp包数据
最新发布
zengliguang的专栏
05-29 277
函数读取PCAP文件中的所有数据包,然后通过列表推导式筛选出指定协议的数据包,并打印出每个包的详细信息。如果你想进一步处理每个UDP包的数据(例如提取负载),可以根据需要修改打印部分的代码。要读取一个PCAP文件并根据筛选条件(例如,仅提取UDP包)处理其中的数据,可以使用Python的。函数,它接受一个PCAP文件路径和一个协议名称作为参数,默认筛选UDP协议的数据包。变量替换为你实际的PCAP文件路径。首先,确保你已经安装了。
安全开发--8--Python实现流量数据包(pcap包)分析
武天旭的博客
08-26 4700
本篇我们会使用Python从HTTP流量中提取出图片文件,然后使用OpenCV对它们进行处理,尝试识别出带有人脸的图像,以此来锁定我们可能感兴趣的内容。至于流量数据包,可以百度搜索帅哥美女图片,有人脸的图片就会一抓一大把,再使用wireshark之类的工具来抓取等等,方式很多,就不介绍了。对于这个需求,我们会分为两步来执行,第一步是从HTTP流量中提取图片,并将它们保存到磁盘上;第二步是分析每一张图片以判断里面是否会出现人脸,如果图片里面确实有人脸, 就用一个方框把其中的人脸圈出来,并单独保存(另存为)
python之用scapy分层解析pcap报文(Ethernet帧、IP数据包、TCP数据包、UDP数据包、Raw数据包)
热门推荐
GFS_lele的博客
03-27 2万+
一、工具准备   下载安装scapy库(https://blog.csdn.net/qq_23977687/article/details/88046257) 二、scapy用法   1.1、得到数据   有两种方式,实时抓包,读取 pcap文件   实时抓包:利用sniff方法来实现(eth0是要检测的网卡名,count是抓包的数量) from scapy.all import...
python抓包 -- 用wireshark抓包、解析--scapy、PyShark
weixin_45939263的博客
12-11 5641
只捕获地址为192.168.1.125且目的端口为80的流量:src host 192.168.1.125 && dst port 80。prn: 定义回调函数,使用lambda表达式来写回调函数(当符合filter的流量被捕获时,就会执行回调函数)只捕获某个MAC地址主机的交互流量:ether src host 00:87:df:98:65:d8。只捕获来于某一IP的主机流量:src host 192.168.1.125。只捕获除80端口以外的其他端口流量:!只捕获80端口的流量:port 80。
python读取pcap文件.pdf
09-30
python读取pcap文件.pdf
python 抓包保存为pcap文件并解析的实例
09-19
Python在网络安全领域中被广泛用于数据包的抓取和分析,本实例主要讲解如何使用Python的Scapy库来抓包并保存为pcap文件,以及后续如何解析这些pcap文件。 首先,我们要导入必要的模块,包括`os`用于文件操作,以及...
c# 读取 wireshark pcap文件 官方
03-02
这个例子展示了如何读取.pcap文件并遍历每个数据包,提取以太网、IP和TCP层的信息。根据你的需求,你可以进一步扩展这些基本操作,实现更复杂的功能,比如协议解析、数据分析、异常检测等。 总的来说,Pcap.Net为C#...
python 同时读取多个文件的例子
09-19
本文将详细讲解如何使用Python同时读取多个文件,并提供相关的示例代码。 1. **基本的文件读取操作** Python中,我们通常使用`open()`函数来打开一个文件,然后通过`with`语句来管理文件对象,确保在完成操作后...
python解析pcap报文_scapy解析pcap文件
caoyongsheng的博客
09-08 3646
介绍如何使用 Python scapy 从pcap数据包中提取TLS/数据包的基本信息,例如SNI等。scapy 能够从pcap包中提取出数据包对象,可以直接通过pkt.show()输出显示数据包内容。pkts = rdpcap(infliestr) # 打开pcap文件,读取数据包内容nums=29 # 该pcap包中,下标为29的数据包为tls client hello。
pcap文件详解
peiwang245的博客
05-14 1840
一.简介 pcap文件是常用的数据报存储格式,可以理解为就是一种文件格式,只不过里面的数据是按照特定格式存储的,所以我们想要解析里面的数据,也必须按照一定的格式。普通的记事本打开pcap文件显示的是乱码,用安装了HEX-Editor插件的Notepad++打开,能够以16进制数据的格式显示,用wireshark这种抓包工具就可以正常打开这种文件,愉快地查看里面的网络数据报了,同时wireshark也可以生成这种格式的文件。当然这些工具只是我经常使用的,还有很多其它能够查看pcap文件的工具。 二...
Python解析pcap包——UDP数据包
sklr2010的博客
04-28 5569
python解析pcap报文——UDP
Python读取pcap文件
清风飘过
08-28 8749
http://blog.sina.com.cn/s/blog_4b5039210100gnlu.html    想试一试读取pcap文件的内容,并且分析pcap文件头,每一包数据的pcap头,每一包的数据内容(暂时不包括数据包的协议解析),关于pcap文件的格式,可以参看:http://blog.sina.com.cn/s/blog_4b5039210100fzrt.html     搞了
python分析pcap文件_使用PYTHON解析Wireshark的PCAP文件方法
weixin_39692037的博客
11-30 371
PYTHON首先要安装scapy模块PY3的安装scapy-python3,使用PIP安装就好了,注意,PY3无法使用pyinstaller打包文件,PY2正常PY2的安装scapy,比较麻烦from scapy.all import *pcaps = rdpcap("file.pcap")pcaps便是解析后的类似结构体的东西了packet=pcaps[0] #第1个数据包结构packet.ti...
python pcap 起始位置,python 解析pcap数据长度
weixin_32065293的博客
03-25 210
# -*- coding: UTF-8 -*-import dpktimport collections # 有序字典需要的模块import timedef main(file_path):f = open(file_path, 'rb') #python3pcap = dpkt.pcap.Reader(f) # 先按.pcap格式解析,若解析不了,则按pcapng格式解析all_pcap_d...
Wireshark切割PCAP以及合并PCAP
Joseph_ChiRunningAnt的博客
04-25 2万+
Wireshark对PCAP文件进行切割和合并操作。
python提取指定数据流量是几点_fatt:从pcap或实时网络流量中提取元数据和指纹...
weixin_39641697的博客
12-09 135
原标题:fatt:从pcap或实时网络流量中提取元数据和指纹 fatt是一个用于从pcap或实时网络流量中提取元数据和指纹(如和)的python脚本。其主要用例是监视蜜罐,但你也可以用于其他用例,例如网络取证分析。fatt当前支持的系统包括Linux,macOS和Windows。注意,fatt使用pyshark(tshark的python包装器),因此性能并不是很好!但这问题不大,因为显然这不是你...
python读取pcap文件
07-16
要使用Python读取PCAP文件,你可以使用第三方库如`pyshark`、`scapy`或`dpkt`。这些库提供了处理网络数据包的功能。 下面是一个使用`pyshark`库来读取PCAP文件的示例代码: ```python import pyshark # 打开PCAP...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 8
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值