Go 处理PCAP文件

最新推荐文章于 2024-04-17 07:43:59 发布
最新推荐文章于 2024-04-17 07:43:59 发布
阅读量1k 收藏 1
点赞数 1
文章标签: golang 开发语言 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ayaoweiyou/article/details/125337741
版权

PCAP文件:一个pcap文件由文件头(pacp header)和 多个 (packet header && packet data) 组成,其中 (packet header && packet data) 的数量 就是pcap文件中包含的packet数量。
在这里插入图片描述

本列子是通过https接口请求api获取二进制数据流 接口响应数据如下
在这里插入图片描述
具体实现代码DEMO如下:

// DownloadDataPackets 下载数据包
func DownloadDataPackets(ctx context.Context, baseURI, user, pass, filter, beginTime, endTime, certPath string) (filaname string, err error) {
	var params = map[string]interface{}{
		//请求接口需要的数据
	}
	// 请求接口判断是否有数据,如果有数据再进行后面数据下载请求
	var respData []byte
	req_times := 0
	for {
		req_times += 1
		respData, err = DownloadDataPacketsRal(baseURI, params)
		if err != nil {
			return "", err
		}
		if dataPacketsIsExist(respData) {
			break
		}
		time.Sleep(time.Duration(1) * time.Second)
		if req_times > 60 {
			return "", nil
		}
	}
	fileName := "./packets.pcap"
	// 创建文件
	file, err := os.Create(fileName)
	if err != nil {
		return "", err
	}
	defer file.Close()
	write := bufio.NewWriter(file)
	// 1.写pacap header
	writePcapHeader(write)
	// 循环判断是否存在句柄
	for {
		// 下载句柄handle 4B
		handle := binary.BigEndian.Uint32(respData[4:8])
		// moreData 是否还有数据 1B
		moreData := respData[8:9][0]
		// 如果存在数据 就继续通过后handle请求获取下一页数据
		params["handle"] = handle
		//处理当前请求的数据包内容
		packetAllDataWritePcap(write, respData)
		if moreData <= 0 || handle <= 0 {
			break
		}
		respData, err = DownloadDataPacketsRal(baseURI, params)
		if err != nil {
			return "", err
		}
	}
	return fileName, nil
}

// packetAllDataWritePcap 获取数据包数据 并写入pcap文件中
func packetAllDataWritePcap(w *bufio.Writer, respData []byte) {
	// 响应数据包头部固定长度
	inteHeaderLen := 9
	// 响应数据长度
	dataLen := len(respData)
	var size int
	size += dataLen
	// 循环判断,并根据数据包下载片段重新定义inteHeaderLen,与响应长度进行比较
	for inteHeaderLen < dataLen {
		realData := respData[inteHeaderLen:]
		// 2.写packet header
		// 响应信息中实际的数据包内容 写入实际数据包内容,该数据长度是capLen
		capLen := writePacketHeader(w, realData)
		// 3.写packet body
		// 数据长度就是capLen个Byte,在此之后是一个新的Packet Header,新的Packet Data,如此循环
		writePacketData(w, realData[17:capLen+17])
		w.Flush()
		inteHeaderLen = inteHeaderLen + 17 + int(capLen)
	}
}

// writePcapHeader 写pacap头文件
func writePcapHeader(w *bufio.Writer) {
	/*
		pcap文件头:24字节(固定)
		Magic(4Byte):标记文件开始,并用来识别文件自己和字节顺序
		Major(2Byte): 当前文件主要的版本号
		Minor(2Byte): 当前文件次要的版本号
		ThisZone(4Byte):当地的标准时间,如果用的是GMT则全零,一般都直接写 0000 0000
		SigFigs(4Byte):时间戳的精度
		SnapLen(4Byte):最大的存储长度
		LinkType(4Byte):链路类型
	*/
	fileHeader := []byte("\xD4\xC3\xB2\xA1\x02\x00\x04\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x08\x00\x00\x01\x00\x00\x00")
	w.Write(fileHeader)
}

// writePacketHeader 写packet头文件
func writePacketHeader(w *bufio.Writer, realData []byte) uint32 {
	/*
		存在多个packet header
		Timestamp(4Byte):被捕获时间的高位,精度为seconds
		Timestamp(4Byte):被捕获时间的低位,精度为microseconds
		Caplen(4Byte):当前数据区的长度,即抓取到的数据帧长度,不包括Packet Header本身的长度,单位是 Byte ,由此可以得到下一个数据帧的位置。
		Len(4Byte):离线数据长度:网络中实际数据帧的长度,一般不大于caplen,多数情况下和Caplen数值相等。
	*/
	var packatHeaderData []byte
	// timeNanosecond 时间戳8个字节(q)- 大端序
	timeNanosecond := binary.BigEndian.Uint64(realData[1:9])
	// pktLen 数据包长度是4字节(I) - 大端序
	pktLen := binary.BigEndian.Uint32(realData[9:23])
	// capLen 捕获长度是4字节(I),网络序 - 大端序
	capLen := binary.BigEndian.Uint32(realData[13:17])
	// 数据包头的秒时间戳
	timeSec := int(timeNanosecond / 1000000000)
	timeMsec := int64((int(timeNanosecond) - timeSec*1000000000) / 1000)
	// 获取高位时间戳
	timeMsec32 := make([]byte, 4)
	binary.LittleEndian.PutUint32(timeMsec32, uint32(timeMsec))
	packatHeaderData = append(packatHeaderData, timeMsec32...)
	packatHeaderData = append(packatHeaderData, timeMsec32...)
	// 数据包长度,表示所抓获的数据包保存在pcap文件中的实际长度
	capLen32 := make([]byte, 4)
	binary.LittleEndian.PutUint32(capLen32, uint32(capLen))
	packatHeaderData = append(packatHeaderData, capLen32...)
	// 数据包实际长度,所抓获的数据包的真实长度,如果文件中保存不是完整的数据包,则这个值可能要比前面的数据包长度值大
	pktLen32 := make([]byte, 4)
	binary.LittleEndian.PutUint32(pktLen32, uint32(pktLen))
	packatHeaderData = append(packatHeaderData, pktLen32...)
	w.Write(packatHeaderData)
	return capLen
}

// writePacketData 写packet文本信息
func writePacketData(w *bufio.Writer, packData []byte) {
	// 写packet data
	w.Write(packData)
}

// dataPacketsIsExist 查询数据包是否有数据
func dataPacketsIsExist(respData []byte) bool {
	if len(respData) == 0 {
		return false
	}
	if len(respData) == 9 && respData[8] != 1 {
		return false
	}
	return true
}
IAmYaoo
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
gopcap:为人类解析 .pcap 文件
07-14
盖帽 gopcap 是的纯 Go 实现。 Pcap 是标准的开源数据包捕获格式,由 C 库定义。 例子 gopcap API 非常简单: pcapfile, _ := os.Open("file.cap") parsed, err := gopcap.Parse(pcapfile) 有关更多示例,请参阅 API 文档。 特征 完全同步的 API,很容易实现异步。 有效利用内存。 没有外部依赖。 贡献 gopcap 欢迎贡献,包括错误修复和新功能(尽管新功能的机会显然相当有限!)。 任何功能请求都应认真考虑对 API 的影响。 API 的清晰度高于新功能,因此任何使 API 复杂化的功能都必须为库增加重要的价值才能被接受。 如果您想做出贡献,请执行以下操作: 通过在 GitHub 上检查未解决和已关闭的问题,检查您的想法是否尚未被提出。 从 GitHub 分叉存储库并进行更改。
gophercap:用Go编写的准确,模块化,可扩展的PCAP操作工具
04-01
地鼠帽 用Go语言编写的准确,模块化,可扩展的PCAP操作工具。 GoperCap使用和来构建用于PCAP操纵的CLI工具。 首先实现的功能是能够在实时网络接口上同时重放脱机PCAP文件的功能。 同时保留每个数据包之间的时间戳。 它还可以计算PCAP文件的元数据,并从压缩的tarball中提取文件(无中间存储要求)。 背景 Stamus Networks开发了和开源网络安全平台。 我们专注于网络检测和响应解决方案,包括签名规则集管理,网络威胁搜寻,高级威胁情报和数据分析。 所有这些都利用了Suricata网络IDS / IPS / NSM引擎。 从历史上看,我们将与预定的PPS选项一起使用。 在为大于平均水平的特定PCAP集设置重播时,我们最初尝试了典型的bash火箭方法。 只需使用capinfos读取PCAP元数据,提取平均数据包速率,然后以提取的平均速率重播文件。 不是开发算法威
Golang抓包:实现网络数据包捕获与分析_golang pcap,2024年最新【2024Golang最新学习路线
最新发布
2401_84254451的博客
04-17 747
以上示例代码中,我们使用了嵌套的条件语句来逐级解析数据包的各个层级,并提取所需的信息。其中,我们关注以太网帧、IPv4包、TCP包和HTTP协议,提取了包括源MAC地址、目的MAC地址、源IP地址、目的IP地址、源端口、目的端口、HTTP方法、主机和请求头信息等。上述代码中,我们在数据包捕获的过程中判断源端口或目标端口是否为80(HTTP默认端口),如果是则统计这些HTTP流量的数据量。现在,我们将结合以上的知识来实现一个简单的示例:捕获HTTP请求,并提取请求的URL和请求头信息。
golang 编译 pcap 抓包程序时 指定libpcap位置为相对路径lib
zhou568069476的博客
12-04 750
第一种方式 修改 pcap_unix.go 源码 在该文件27行 #cgo linux LDFLAGS: -lpcap的地方修改为#cgo linux LDFLAGS: -L lib -Wl,-rpath,$ORIGIN/lib -lpcap 运行编译命令:GOOS=linux GOARCH=amd64 /tmp/build/go/bin/go build -o pcap 第二种在编译命令出增加 CGO_LDFLAGS定义 编译命令CGO_LDFLAGS="-L lib -Wl,-rpath -Wl,
Go-golibwireshark-使用libwireshark库解码pcap文件并分析解剖数据
08-14
golibwireshark - 使用libwireshark库解码pcap文件并分析解剖数据
pcap文件保存为pcd文件
05-31
支持j将velodynelidar采集的点云数据转化为常用的pcd或ply格式进行处理
Golang抓包:实现网络数据包捕获与分析
hitpter的专栏
11-16 1543
在网络通信中,网络数据包是信息传递的基本单位。抓包是一种监控和分析网络流量的方法,用于获取网络数据包并对其进行分析。在Golang中,我们可以借助现有的库来实现抓包功能,进一步对网络数据进行分析和处理。本文将介绍如何使用Golang实现抓包功能,包括网络数据包捕获和数据包分析。我们将使用gopacket库来实现抓包功能,并结合示例代码来演示抓包过程以及常见的数据包分析方法。通过使用gopacket库,我们可以轻松地实现网络数据包的抓取和分析。
golang抓取tcp包的实现
dkjhl的博客
08-24 1332
这个示例代码打开指定的网络接口,设置过滤规则为 “tcp”,然后开始捕获 TCP 数据包。对于每个捕获到的数据包,它将检查是否为 TCP 数据包,并打印源地址、源端口、目标地址、目标端口和 TCP 数据的内容。要抓取 TCP 请求的数据包,你可以使用 `golang` 中的 `packet` 库和 `pcap` 库。go run tcp_packet_capture.go 请注意,执行此程序需要管理员权限或以 root 身份运行。
Go语言解析pcap包,提取http请求
Last Dance !
08-26 4884
package main // Use tcpdump to create a test file // tcpdump -w test.pcap // or use the example above for writing pcap files import ( "fmt" "github.com/google/gopacket" "github.com/google/gopacket/layers" "github.com/google/gopacket/pcap" "log" "r.
Golang抓包:实现网络数据包捕获与分析_golang pcap(3)
2401_84254451的博客
04-17 882
以上示例代码中,我们使用了嵌套的条件语句来逐级解析数据包的各个层级,并提取所需的信息。其中,我们关注以太网帧、IPv4包、TCP包和HTTP协议,提取了包括源MAC地址、目的MAC地址、源IP地址、目的IP地址、源端口、目的端口、HTTP方法、主机和请求头信息等。上述代码中,我们在数据包捕获的过程中判断源端口或目标端口是否为80(HTTP默认端口),如果是则统计这些HTTP流量的数据量。现在,我们将结合以上的知识来实现一个简单的示例:捕获HTTP请求,并提取请求的URL和请求头信息。
Go-gopcap-一个简单的libpcap的Go语言封装
08-14
gopcap - 一个简单的libpcap的Go语言封装
Go-joincap优雅地将多个pcap文件合并在一起
08-14
joincap:优雅地将多个pcap文件合并在一起
java抓包后对pcap文件解析示例
09-04
主要介绍了java抓包后对pcap文件解析示例,需要的朋友可以参考下
pcap文件处理为csv文件,并根据协议类型分开保存
08-19
需要三个空白文件夹,一个存放数据包,一个存放解析时的json文件,还有一个存放最终的csv文件,并且最终制成数据集的形式
python 抓包保存为pcap文件解析的实例
09-19
今天小编就为大家分享一篇python 抓包保存为pcap文件解析的实例,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
Go监控网络数据包,实时抓取网卡信息进行解析,离线解析pcap
坐看云起时_雨宣
03-30 3398
本次用到的包为gopacket来对网络进行抓包。网上也有类似的代码,不说了,上干货。 package main import ( "fmt" "github.com/google/gopacket" "github.com/google/gopacket/layers" "github.com/google/gopacket/pcap" "reflect" "strings" ...
Pcap数据包处理-提取数据包中的HTTP请求和响应
村中少年的专栏
01-24 3347
使用httpflow提取HTTP数据包的请求和响应
一个Go语言实现的流量回放工具
qq_39397165的博客
09-05 482
前言哈喽,大家好,我是asong。今天给大家推荐一款使用Go语言编写的流量回放工具 --goreplay;工作中你一定遇到过需要在服务器上抓包的场景,有了这个工具就可以助你一臂之力,goreplay的功能十分强大,支持流量的放大、缩小,并且集成了ElasticSearch,将流量存入ES进行实时分析;废话不多,我们接下来来看一看这个工具;goreplay介绍与安装项目地址:https://git...
python处理pcap文件_[转载]Python读取pcap文件
06-08
好的,我知道了。关于Python读取pcap文件,可以使用第三方库Scapy。Scapy是一个交互式的数据包处理程序,可以处理发送,嗅探,解码和伪造网络数据包。以下是一个简单的示例代码,可以读取pcap文件并打印出每个数据包的摘要信息: ```python from scapy.all import * # 读取pcap文件 packets = rdpcap('file.pcap') # 打印每个数据包的摘要信息 for packet in packets: print(packet.summary()) ``` 除了打印摘要信息外,Scapy还可以对数据包进行更复杂的操作,例如: - 访问和修改数据包的字段 - 创建和发送自定义数据包 - 进行嗅探和过滤网络流量 - 等等 希望这个简单的示例能够帮助你开始处理pcap文件

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值