根据五元组对pcap数据包划分

最新推荐文章于 2023-12-12 17:40:06 发布
最新推荐文章于 2023-12-12 17:40:06 发布
阅读量5.9k 收藏 59
点赞数 5
文章标签: python 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/asddasads/article/details/108334973
版权

目的

对数据包(pacp格式)中的数据,按照五元组(#流:源端口号、目的端口号、协议号、源IP、目的IP)对流进行划分。

举例:flow1(data[IP].src, data.sport, data[IP].dst, data.dport, data.proto)。

思路

五元组提取

首先对每个数据包进行遍历,提取出里面有效的五元组信息。

在实践中:

  • 因为抓包在链路层,可能有些包是ARP协议等,所以没有上层信息,视为无效包。
  • 还有些数据包缺失端口号或者协议(无tcp,udp等扽标识),暂时没思考出来为什么,会抛出异常,视为无效包。所以在代码中需要加入异常处理。
  • 另外,在PCAP中,IPv4标识为“IP”,IPv6标识为“IPv6”,还有“ARP”协议等等,需要单独处理。

提取五元组后,放在tuple中。本功能单独在packetRead()函数中实现,也在flowProcess()函数中使用。

五元组信息统计

对于同一个流,所有数据报的五元组信息都相同。此处的思路为统计出不相同的五元组信息为一个字典,key为五元组,value为五元组重复次数。

接上一单元,每次tuple提取后,将其append到flow_list的尾部。统计完后列表有重复项。建立空字典,flow_list.count(item)用于统计列表中每一个表项的重复次数,将item设为字典key,count的返回值设为字典的value,即可创建字典。

数据包划分

字典key的数量既为切分结果的子pcap数量,创建子pcap,读取原pcap中每个数据包信息,遇到匹配的塞进去,重复key次即可。

完整代码

# -*- coding: utf-8 -*-
#流:源端口号、目的端口号、协议号、源IP、目的IP

import scapy
from scapy.all import *
from scapy.utils import PcapReader
import os
import json

'''数据包五元组读取'''
def packetRead(p):
    packets=rdpcap(p) #提取pcap
    print(packets) #打印pcap信息
    flow_list=[]   #用于五元组信息统计
    '''提取五元组信息'''
    for data in packets:
        #data.show()  #展示当前类型包含的属性及值
        #协议:其中1,标识ICMP、2标识IGMP、6标识TCP、17标识UDP、89标识OSPF。
        #data.payload.name:'IP','IPV6','ARP'或者其他
        if data.payload.name == 'IP':
            try:
                five_tuple = "{}:{} {}:{} {}".format(data[IP].src,data.sport,data[IP].dst,data.dport,data.proto)
                flow_list.append(five_tuple)
            except AttributeError:
                continue
                print("AttributeError")
        elif data.payload.name == 'IPv6':
            try:
                five_tuple = "{}:{} {}:{} {}".format(data[IPv6].src,data.sport,data[IPv6].dst,data.dport,data.proto)
                flow_list.append(five_tuple)
            except AttributeError:
                continue
                print("AttributeError")
        elif data.payload.name == 'ARP':
            print('arp')
        else:
            print('不是ip ipv6 arp')
        
        print(five_tuple)
    #end for
    
'''将大数据包按流切分'''
def flowProcess(p):
    packets=rdpcap(p) #提取pcap
    print(packets) #打印pcap信息
    flow_list=[]   #用于五元组信息统计
    #用于统计不要的报文数
    arp = 0
    other = 0
    wrong_data = 0
    
    '''提取五元组信息'''
    for data in packets:
        #data.show()  #展示当前类型包含的属性及值
        #协议:其中1,标识ICMP、2标识IGMP、6标识TCP、17标识UDP、89标识OSPF。
        #data.payload.name:'IP','IPV6','ARP'或者其他
        if data.payload.name == 'IP':
            try:
                five_tuple = "{}:{} {}:{} {}".format(data[IP].src,data.sport,data[IP].dst,data.dport,data.proto)
                flow_list.append(five_tuple)
            except AttributeError:
                wrong_data = wrong_data+1
        elif data.payload.name == 'IPv6':
            try:
                five_tuple = "{}:{} {}:{} {}".format(data[IPv6].src,data.sport,data[IPv6].dst,data.dport,data.proto)
                flow_list.append(five_tuple)
            except AttributeError:
                wrong_data = wrong_data+1
        elif data.payload.name == 'ARP':
            arp = arp+1
        else:
            other = other+1
        
        flow_list.append(five_tuple)
    #end for
    print('arp:',arp,' other:', other, ' 数据包损坏:',wrong_data)
    
    '''统计流的数目与五元组信息,并保存txt'''
    i=0
    dicts = {} #用于统计每个五元组出现次数
    for item in flow_list:
        if flow_list.count(item)>=1:
            dicts[item]=flow_list.count(item) #统计五元组重复次数
            i = i+1
        if i%1000==0:#每1000次打印一下进度
            print('字典处理进度:',i/len(flow_list)*100,'%')
    #end for
    fileCreate(dicts,p,flow_list) #保存txt
    
    ''' 创建每个流的pcap '''
    #对每个五元组创建一个文件
    t_name1=p.split('.pcap')             #t_name1[0]  ./****/***
    t_name2=t_name1[0].split('./dataset') #t_name2[1]  /*** 
    os.mkdir('./dataset'+t_name2[1])
    total=len(dicts)      #统计流的数目
    for key in dicts.keys():
        #创建写入器
        writer = PcapWriter('./dataset'+t_name2[1]+t_name2[1]+'%d'%total+'.pcap', append = True)
        total = total-1
        if total%100 == 0:
            print('流切分进度:',(1-(total/len(dicts)))*100,'%') #打印当前进度
        for data in packets:
            if data.payload.name == 'IP':
                try:
                    #读取当前数据包的信息
                    t_tuple = "{}:{} {}:{} {}".format(data[IP].src,data.sport,data[IP].dst,data.dport,data.proto)
                    #比较信息
                    if t_tuple == key:
                        writer.write(data) #写入流
                        writer.flush()
                except AttributeError:
                    wrong_data = wrong_data+1
                    #print("AttributeError")
        writer.close()
    #end for


'''将五元组信息统计到文件中'''
def fileCreate(dicts,p,flow_list):
    #拆分拼接字符串 创建txt文件
    tlist=p.split('pcap')
    txt_name=tlist[0]+'txt'
    f = open(txt_name,'w')
    json_dicts = json.dumps(dicts,indent=1)
    f.write(json_dicts+"\n"+"the number of flows:"+str(len(dicts))+"\n"+"the number of packets:"+str(len(flow_list)))
    f.close()
    

#flowProcess函数用于将pcap按流切分成小pcap
#packetRead函数用于读取pcap中所有数据的五元组信息,可用于切分后验证。
#fileCreate函数保存统计好的五元组信息
#目录结构 ./dataset
if __name__=='__main__':
    #文件夹下数据集列表
    '''
    dirct = './dataset'
    dirList=[]
    fileList=[]
    files=os.listdir(dirct)  
    print('files:',files)
    print()
    '''

    #选择要切分的流的位置
    p ="./dataset/AppStore-web.pcap"
    pp="./dataset/AppStore-web/AppStore-web6.pcap"
    flow_list=flowProcess(p)
    packetRead(pp)

 

 

 

mate595
关注
  • 5
    点赞
  • 59
    收藏
    觉得还不错? 一键收藏
  • 8
    评论
TCP/IP五元组
summer_fish的专栏
10-18 2162
五元组是通信术语,英文名称为five-tuple,或5-tuple,五元组包括源IP地址源端口目的IP地址目的端口(destination port) 和传输层协议(the layer 4 protocol)的五个量集合。例如:192.168.1.1 10000 TCP 121.14.88.76 80就构成了一个五元组,源IP地址为192.168.1.1,源端口号为10000,协议为TCP,目的IP地址为:121.14.88.76,目的端口号为80。
pcap文件解析,并且按照五元组分类
06-14
pcap文件解析,并按照五元组分包,全部用java语言实现。
java解析五元组_pcap文件解析,并且按照五元组分类
weixin_26808963的博客
02-25 302
【实例简介】pcap文件解析,并按照五元组分包,全部用java语言实现。【实例截图】【核心代码】PcapTestZZ├── PcapTestZ│ ├── 111.206.37.193086222.20.52.2089111.pcap│ ├── 115.156.147.21922666222.20.52.2089112.pcap│ ├── 203.208.50.132086222.20....
pcap文件按照五元组分流
m0_62435078的博客
09-16 535
pcap文件分流(五元组)
java解析Pcap文件获取五元组(可执行)
07-13
java解析Pcap文件获取五元组(可运行)
使用python中的scapy库抓取并解析pcap包(五元组信息)
热门推荐
Sword1996的博客
04-08 1万+
1. 安装好scapy库 2. 使用scapy库抓包 pkts = sniff(iface="eth0",count=3) 简单的抓取数据包 wrpcap("demo.pcap", pkts) 保存为demo.pcap 3. 解析包 参考:https://github.com/HatBoy/Pcap-Analyzer #coding:UTF-8 from scapy.all import * ...
python抓取数据包提取五元组
07-26
可选操作:除了提取五元组之外,还可以对数据包进行其他操作,如计算吞吐量、延迟或分析应用层协议等。这些操作可以根据需求和具体场景进行。 请注意,实际的实现方式可能会因所选择的库和工具而有所不同。在编写...
常见工控协议pcap数据包.rar
05-08
本压缩包"常见工控协议pcap数据包.rar"包含了多种工业互联网通信协议的pcap(Packet Capture)文件,这对于协议分析、网络诊断以及系统集成等工作具有极大的价值。以下将对其中提及的三个标签——HART-IP、PROFIBUS...
opc-UA协议pcap数据包
08-02
opc-ua协议以太网报文,可以用wireshark软件打开,适用于学习opc-ua协议报文解析,学习各种工业以太网协议可参考本人其他下载文件
NTP协议pcap数据包
08-02
使用wireshark捕获NTP协议的pcap数据包进行分析
利用python socket实现五元组抓包实验数据
03-16
python socket实现多台主机的相互之间的tcp通信
基于五元组分流并提取流量特征 机器学习中对加密流量进行分类
06-05
结果输出为csv文件,机器学习中对加密流量进行分类
java解析五元组_抓包分析提取五元组
weixin_28883533的博客
02-25 979
标签:网络中每个通信实体的socket是用一个三元组标识的。三元组往往称为半相关三元组指的是:协议族(地址族),网络地址、和传输层端口(Ipv4)。通信双方的一个连接是用网络五元组来标识的,它是由双方相同协议族的两个本地三元组合成的。五元组往往称为全相关。网络五元组指的是:协议族(地址族)、本地网络地址、本地端口、远程网络地址和远程端口。套接口分为若干类型,常用的是SOCK_STREAM...
Pcap包按相同五元组信息提取流量
weixin_45154431的博客
01-07 1717
【代码】Pcap包按相同五元组信息提取流量。
对指定的PCAP包分析后,按照IP和PORT进行拆分PCAP
wozijisunfly的专栏
11-11 1332
#cs ____________________________________  Au3 版本: 3.3.6.1  脚本作者: wozijisunfly     Email: wozijisun@sina.com     QQ/TM:  脚本版本: v1.0  脚本功能: 实现读取PCAP包后,分析包信息,根据包信息中的的IP:PORT筛选,拆分数据,并保存为PCAP包。
分享一个提取pcap文件中TCP和UDP数据包的五元组并将其转存在一个json文件中的源代码
赵宗义的专栏
11-16 1892
如题,分享一个提取pcap文件中TCP和UDP数据包的五元组即(源IP地址,目的IP地址,源端品号,目的端口号,协议类型)并将其转存在一个json文件中的源代码。另外,我有清华校园网,中国电信,香港全球通信以及CAIDA的trace,其中清华校园网和中国电信的trace文件是数据流的形式(中国电信是1:5000的NetFlow采样比),香港全球通信和CAIDA的trace文件是数据包的形式...
网络安全系列-二十七: 基于pkts.io解析pcap,生成五元组及payload
penriver的博客
06-11 1581
pkts.io是一个用于读写pcaps的纯Java库。它的主要目的是操作/分析现有的pcaps,允许您围绕pcaps构建各种工具。 目前使用JAVA解析Pcap的第三⽅库有Pcap4j、JnetPcap等,这两个库需要调⽤Native代码,window下运⾏需要dll⽂件,linux下需要so包,跨平台特性不是很好 推荐使⽤io.pkts来解析Pcap文件,使⽤起来⾮常⽅便且跨平台特性 本文提供基于pkts.io解析pcap文件,生成网络报文的基本信息:五元组及上层应用的payload信息。...
【HW防火墙】利用FW抓包,监测数据与延迟
最新发布
qq_43751649的博客
12-12 1083
FW防火墙的部署方式决定了其具有的功能,网络质量分析需要利用FW,如何利用FW方墙监测数呢?
五元组及不同组网方式的传输流程
m0_46657493的博客
04-09 7580
一、五元组 五元组:源IP,源端口号,目的IP,目的端口号,协议号 IP:标识主机,给人用的 源IP:发送数据的主机 目的IP:接收数据的主机 端口号:表示某个主机进程 源端口:标识发送数据的进程 目的端口:标识接收数据的进程 协议号:进程要封装、解析的数据报的数据格式 NDS协议(应用层协议):域名转IP 查找方式:树形结构从下往上查找(查找缓存或者域名服务器)区域名服务器--》根域名服务器,若是...
写一个pcap包提取五元组的Python
03-23
代码如下: import dpkt import socket def extract_five_tuple(pcap_file): with open(pcap_file, 'rb') as f: pcap = dpkt.pcap.Reader(f) for ts, buf in pcap: eth = dpkt.ethernet.Ethernet(buf) if not isinstance(eth.data, dpkt.ip.IP): continue ip = eth.data src_ip = socket.inet_ntoa(ip.src) dst_ip = socket.inet_ntoa(ip.dst) if not isinstance(ip.data, dpkt.tcp.TCP): continue tcp = ip.data src_port = tcp.sport dst_port = tcp.dport print(f"src_ip: {src_ip}, dst_ip: {dst_ip}, src_port: {src_port}, dst_port: {dst_port}") # example usage extract_five_tuple('example.pcap') 这段代码可以从一个pcap文件中提取出五元组信息,包括源IP地址、目的IP地址、源端口号和目的端口号。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 8
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值