分析网络抓包用 python 更高效

最新推荐文章于 2024-07-22 17:06:34 发布
最新推荐文章于 2024-07-22 17:06:34 发布
阅读量2.6k 收藏 11
点赞数 1
文章标签: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fanyamin/article/details/128879745
版权
Abstract分析网络抓包用 python 更高效
AuthorsWalter Fan
Categorylearning note
Statusv1.0
Updated2023-01-10
LicenseCC-BY-NC-ND 4.0

网络抓包分析用的最多的两大工具是 tcpdump 和 wireshark.

一般我们通过 tcpdump 或者 wireshark 来捕获网络包为 *.pcap 或者 *.pcapng 文件

tcpdump  -G 60 -W 1 -w /tmp/test.pcap

而分析 pcap 文件可以用 wireshark, wireshark 之强大, 界面之复杂不用赘述, 相关书籍和文章汗牛充栋.

我更喜欢用其命令行工具 tshark, 例如

tshark -P -V -x -2 -T text -j rtp -c 3 -r /tmp/test.pcap

例如将 pcapng 文件中的前 100 包按以下条件过滤出来,并导出为 json 文件

tshark -r 2022-03-30-cc.pcapng -2 -Y "ip.addr == 10.140.202.120 and rtp.p_type == 123" -V -c 100 -T json >
packet_sample.json"

输出结果如下

//省略 1 ~ 4 层的信息: 1)frame, 2)eth, 3)ip, 4)udp
"rtp": {
  "rtp.setup": "",
  "rtp.setup_tree": {
    "rtp.setup-frame": "1",
    "rtp.setup-method": "HEUR RTP"
  },
  "rtp.version": "2",
  "rtp.padding": "0",
  "rtp.ext": "1",
  "rtp.cc": "0",
  "rtp.marker": "0",
  "rtp.p_type": "123",
  "rtp.seq": "8637",
  "rtp.extseq": "74173",
  "rtp.timestamp": "2709737133",
  "rtp.ssrc": "0xe19bcceb",
  "rtp.ext.profile": "0x0000bede",
  "rtp.ext.len": "2",
  "rtp.hdr_exts": {
    "RFC 5285 Header Extension (One-Byte Header)": {
      "rtp.ext.rfc5285.id": "2",
      "rtp.ext.rfc5285.len": "3",
      "rtp.ext.rfc5285.data": "e0:9c:ac"
    },
    "RFC 5285 Header Extension (One-Byte Header)": {
      "rtp.ext.rfc5285.id": "3",
      "rtp.ext.rfc5285.len": "2",
      "rtp.ext.rfc5285.data": "c4:70"
    }
  },
  "rtp.payload": "92:00:60:90:80:c6:67:..."
}

更多具体用法参见 tshark –help

如果我们需要进一步地进行自动化分析,pyshark 是一个不错的库, 用 python 就可以读取分析网络包

pyshark 基本用法

1) 从抓包文件中读取网络包

>>> import pyshark
>>> cap = pyshark.FileCapture('/tmp/mycapture.cap')
>>> cap
<FileCapture /tmp/mycapture.cap (589 packets)>
>>> print cap[0]
Packet (Length: 698)
Layer ETH:
        Destination: BLANKED
        Source: BLANKED
        Type: IP (0x0800)
Layer IP:
        Version: 4
        Header Length: 20 bytes
        Differentiated Services Field: 0x00 (DSCP 0x00: Default; ECN: 0x00: Not-ECT (Not ECN-Capable Transport))
        Total Length: 684
        Identification: 0x254f (9551)
        Flags: 0x00
        Fragment offset: 0
        Time to live: 1
        Protocol: UDP (17)
        Header checksum: 0xe148 [correct]
        Source: BLANKED
        Destination: BLANKED
  ...

2) 从一个网络接口中读取网络包

>>> capture = pyshark.LiveCapture(interface='eth0')
>>> capture.sniff(timeout=50)
>>> capture
<LiveCapture (5 packets)>
>>> capture[3]
<UDP/HTTP Packet>

for packet in capture.sniff_continuously(packet_count=5):
    print 'Just arrived:', packet

3) 使用环形缓冲区从一个网络接口中读取网络包

>>> capture = pyshark.LiveRingCapture(interface='eth0')
>>> capture.sniff(timeout=50)
>>> capture
<LiveCapture (5 packets)>
>>> capture[3]
<UDP/HTTP Packet>

for packet in capture.sniff_continuously(packet_count=5):
    print 'Just arrived:', packet

4) 从一个远程网络接口读取网络包

>>> capture = pyshark.RemoteCapture('192.168.1.101', 'eth0')
>>> capture.sniff(timeout=50)
>>> capture

更多用法参见 https://github.com/KimiNewt/pyshark

综合实例

我在分析 WebRTC 中的网络梯度延迟 OWDV(One Way Delay Variation), 也用它写了一小段脚本, 性价比极高

#!/usr/bin/env python3
import pyshark
import pandas as pd
import matplotlib
import matplotlib.pyplot as plt

import argparse
from datetime import datetime


"""
abs_send_time_24 = (ntp_timestamp_64 >> 14) & 0x00ffffff ;
NTP timestamp is the number of seconds since the epoch, in 32.32 bit fixed point format.
It is 24 bit 6.18 fixed point,  yielding 64s wraparound and 3.8us resolution

int kAbsSendTimeFraction = 18;
int kAbsSendTimeInterArrivalUpshift = 8;
int kInterArrivalShift = RTPHeaderExtension::kAbsSendTimeFraction + kAbsSendTimeInterArrivalUpshift;
constexpr double kTimestampToMs = 1000.0 / static_cast<double>(1 << kInterArrivalShift);
uint32_t timestamp = send_time_24bits << kAbsSendTimeInterArrivalUpshift;
Timestamp send_time = Timestamp::Millis(static_cast<int64_t>(timestamp) * kTimestampToMs);

"""
# fraction part has 18 bits
kAbsSendTimeFraction = 18
kAbsSendTimeInterArrivalUpshift = 8
# after upshfit 8 bits, there are 26 bits for fraction
kInterArrivalShift = kAbsSendTimeFraction + kAbsSendTimeInterArrivalUpshift

kTimestampToMs = 1000.0 / (1 << kInterArrivalShift)


def send_time_to_ms(send_time_24bits):
    timestamp = send_time_24bits << kAbsSendTimeInterArrivalUpshift
    send_time = timestamp * kTimestampToMs
    return send_time


class RtpAnalyzer:

    def __init__(self, input_file, output_file):
        self._pcap_file = input_file
        self._csv_file = output_file

    def read_pcap(self, display_filter, count):

        dataList = []
        packets = pyshark.FileCapture(self._pcap_file, display_filter=display_filter)
        i = 0
        for packet in packets:
            dataItem = {}

            dataItem["arrival_time"] = datetime.fromtimestamp(float(packet.frame_info.time_epoch))
            dataItem["arrival_time_ms"] = float(packet.frame_info.time_epoch) * 1000
            dataItem["rtp_timestamp"] = int(packet.rtp.timestamp)
            dataItem["extseq"] = int(packet.rtp.extseq)
            dataItem["packet_size"] = int(packet.udp.length)

            if int(packet.rtp.ext_rfc5285_id) == 2:
                send_time_24bits = packet.rtp.ext_rfc5285_data.main_field.hex_value
                dataItem["abs_send_time"] = send_time_to_ms(send_time_24bits)

            dataList.append(dataItem)

            i += 1
            if i >= count:
                break

        dataFrame = pd.DataFrame(dataList)
        #print(dataFrame)
        return dataFrame

    def calculate_delta(self, df, row_interval=1):
        df["arrival_time_ms_diff"] = df["arrival_time_ms"].diff(periods=row_interval)
        df["send_time_diff"] = df["abs_send_time"].diff(periods=row_interval)
        df["OWDV"] = df["arrival_time_ms_diff"] - df["send_time_diff"]
        df["OWDV"] = df["OWDV"].abs()
        df = df[df['OWDV'] < 60]
        print(df)
        df.to_csv(self._csv_file)
        print(df["OWDV"].describe())

        print("* note: filter out OWDV if it > 60s because abs_send_time wrap around by 64s")
        return df

    def draw_chart(self, chart_file, df, x, y):
        plt.style.use('seaborn-v0_8-whitegrid')

        fig = plt.figure(figsize=(36, 18))
        font = {'size': 16}

        plt.plot(x, y, data=df)
        #plt.show()
        fig.savefig(chart_file)
        plt.close()

if __name__ == '__main__':

    parser = argparse.ArgumentParser()
    parser.add_argument('-i', action='store', dest='input_file', help='specify input file')
    parser.add_argument('-o', action='store', dest='output_file', help='specify output file')
    parser.add_argument('-f', action='store', dest='filter', default="rtp", help='specify filter expression')
    parser.add_argument('-c', action='store', dest='count', default=10, help='specify packet count')
    args = parser.parse_args()

    if not args.input_file or not args.output_file or not args.output_file.endswith(".csv"):

        print("usage: ./rtp_analyze.py -i <pcap_file> -f <filter_expression>")
        print('such as: ./rtp_analyze.py -i /tmp/test_owdv.pcap -o "test_owdv.csv" -f "rtp.ssrc==0x8ab92fad" -c 100000')
        exit(0)

    rtpAnalyzer = RtpAnalyzer(args.input_file, args.output_file)

    df = rtpAnalyzer.read_pcap(args.filter, int(args.count))
    if not df.empty:
        df = rtpAnalyzer.calculate_delta(df)
        rtpAnalyzer.draw_chart("{}.png".format(args.output_file[:-4]), df, "arrival_time",  "OWDV")

上述小程序生成的图片如下

参考资料


本作品采用 知识共享署名-非商业性使用-禁止演绎 4.0 国际许可协议进行许可。
fanyamin
关注
  • 1
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
使用pyshark进行抓包分析
神威的博客
11-18 3188
import pyshark from logging import captureWarnings cap = pyshark.LiveCapture() cap.sniff(timeout=2) # f= open("1.txt","a") # for i in cap: # # f.write(str(i)) m = 0 c = "////////////////////" for i in cap: s = str(i) s = s.split("Layer ")
python解析数据包_python – 解析UDP数据包
weixin_39959126的博客
12-12 1507
我正在构建一个UDP服务器来解析和验证传入的UDP数据包.我能够接收和解析数据包,但标头值不是我所期望的.这是传入数据包的结构包ID(4个字节)包序列(4个字节)XOR密钥(2个字节)数据包中的校验和数(2个字节)循环校验和CRC32(变量)要发送数据包,with open('payloadfile.bin') as op:payload = pickle.load(op)sock = socke...
pcapng格式文件解析笔记
最新发布
weixin_48943264的博客
07-22 540
因工作需要,在列车上用wireshark抓包存储了一段数据,文件格式是.pcapng。使用wireshark可以很方便的进行简单的数据查看,但是想提取某几个特定的comID数据进行数据分析处理就难了。这里可以使用python来对pcapng数据进行解析。在安装pcapng库之前,走了很多弯路,安装了很多其他的库,像是pyshark,dpkt。块有很多种类型,我手里的这个pcapng文件里有4种类型的块,分别是节头块,接口描述块,增强分组块和接口统计块。pcapng文件的最小单位是。二.pcapng解析。
构建故障分析平台采用python实现抓包分析数据包
weixin_34389926的博客
03-12 146
前言:         同事今天和我说,他现在的任务在做一个头疼的问题,说时尚了点,就是用自动化解脱心碎的运维杂事,他这边刚入职,貌似是带领一帮小弟解决别人搞不定的问题,但是有些业务部够单纯,把事直接抛给我同事这边。。。 很无敌吧。所以计划做一个自动化平台,可以去问题端去抓数据,然后分析数据包,入库,邮件通知。   这个是自动化完成的。我这里就说下,我的解决思路和开发思路:工具:pcap dpkt...
python解析数据包_Python解析DNS数据包
weixin_39854326的博客
12-03 196
1 #!/usr/bin/python2 #coding = utf-83 importstruct4 importdpkt5 importsys6 importsocket7 importbinascii89 DNS_Q =010 DNS_R = 11112 #Opcodes13 DNS_QUERY =014 DNS_IQUERY = 115 DNS_STATUS = 216 DNS_NOTIF...
python 解析网络数据包
热门推荐
cogbee的专栏
08-21 1万+
1、问题描述 网络数据包,我已经使用
Python-IPTCPUDP数据包分析及解析
08-10
读取pcap包,打印详细的icmp/tcp/udp协议。读取pcap包或网络接口
Python wireshark抓包分析.docx
04-29
### Python与Wireshark结合...通过上述介绍和示例代码,我们可以看到Python结合Wireshark进行网络数据包的抓取和分析是非常便捷和高效的。这对于网络故障排查、安全分析以及网络性能优化等方面都有着重要的应用价值。
python爬虫教程学习python爬虫,包括浏览器抓包,手机APP抓包
12-28
无论您是数据分析师、网络开发者还是对Python爬虫感兴趣的爱好者,这些资源都将为您的学习和实践提供有力的支持。 四、使用建议 按需选择工具与教程:根据实际需求选择合适的工具和教程,确保学习与实践的有效性。...
网络抓包与协议分析软件的设计与开发毕业论文.doc
09-18
对于网络抓包与协议分析软件,软件开发需要使用编程语言如 Java、Python 等,并使用相关的开发工具和库。 7. 数据可视化: 数据可视化是指将数据转换为图形化的形式,以便好地了解数据的结构和内容。对于网络抓...
python解析发往本机的数据包示例 (解析数据包)
12-23
tcp.py 复制代码 代码如下:# -*- coding: cp936 -*-import socketfrom struct import *from time import ctime,sleepfrom os import system system(‘title tcp sniffer’)system(‘color 05’) # the public network interfaceHOST = socket.gethostbyname(socket.gethostname()) # create a raw socket and bind it to the public int
使用Python实现windows下的抓包与解析
12-31
系统环境:windows7,选择windows系统是因为我对自己平时日常机器上的流量比较感兴趣 python环境:python2.7 ,这里不选择python3的原因,是因为接下来要用到的scapy包在python3中安装较于python2要麻烦得多。如果你习惯于用python3,数据包的分析完全可以放在3下面做,因为抓包分析是两个完全独立的过程。 需要的python包:scapy和dpkt 抓包代码: from scapy.sendrecv import sniff from scapy.utils import wrpcap dpkt = sniff(count = 100) #这里
python 抓包保存为pcap文件并解析的实例
09-19
今天小编就为大家分享一篇python 抓包保存为pcap文件并解析的实例,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
Python-游戏协议数据抓取解析工具
08-10
需要安装wxWidget模块 进程id读取用到了pywin32模块 抓包用到了WinPcap
自己编写的简单网络协议解析器,用于抓包并解析数据包
05-26
基于Tkinter的Python GUI界面设计,能分条展示数据包的概要信息(summary()),分层解析数据包,可显示数据包的十六进制编码值(hexdump());在抓包的同时解析数据包(不能等抓包停止后才解析),可判断IP、TCP或UDP数据包的校验和是否正确;支持BPF过滤器,抓包过程可以暂停和停止;可将数据包存储在pcap文件中,以供wireshark或其它数据包解析工具分析;可以在退出时提示用户进行保存未保存的数据包,进行保存工作;可以在再次开始新的抓包前提示用户保存未保存的数据包。
python抓包工具集合(for 2.5,for windows)
07-09
总之,这个Python抓包工具集合为Windows用户提供了全面的网络抓包分析能力,是Python开发者进行网络调试和安全研究的得力助手。通过熟练掌握这些工具,你将能够深入地理解网络行为,提升你的编程和网络管理技能...
利用python简单分析抓包数据
weixin_46413513的博客
08-17 1万+
利用python简单分析wireshark抓包数据
python实现——数据包分析
LainWith的博客
09-17 2160
需求分析 工作中经常会碰到设备大量告警,收到成百上千的取证包,面对如此众多的数据包,如何确认这些取证包是不是正确告警的结果呢?只能打开数据包分析看有没有相关攻击特征。由此,可以使用snort进行检测,但是如果经常出门在外,还要继续搭建snort环境吗?这就需要一种便捷化的工具,能根据我提供的特征去海量数据包中匹配,所以,我用python写了这么一款工具,并打包成exe即可出门干活了。代码不大规范,见谅。 软件特点 你只需要提供存放数据包的文件夹和要检查的关键字即可。 脚本会检查提供的文件夹下的所有文件,对
第-3章-python-爬虫抓包与数据解析
m0_67547784的博客
05-17 994
第 3章 Python 爬虫抓包与数据解析 3.1 抓包进阶 目前,我们已经会使用 Chrome 浏览器自带的开发者工具来抓取访问网页的数据包,但是这种抓包方法有局限性,比如只能监听一个浏览器选项卡,如果想监听多个选项卡,必须打开多个页面。 另外,随着智能手机的普及,企业也不像以前一样必须开发一个 PC 端的网站,而是倾向于制作自己的 App 或微信小程序等。另外比较重要的一点是,App 端的反爬虫没有Web 端那么强,所以移动端的抓包也是一门必备技能。 3.1.1 HTTPS 介绍 HTTP,它使用 T
谷歌浏览器f12 抓包 python 爬虫
12-31
谷歌浏览器的F12开发者工具可以帮助开发人员进行抓包分析网页请求和响应的过程。通过F12工具,可以查看网页中的网络请求、头部信息、响应内容等,方便开发人员进行调试和优化网页性能。 Python爬虫可以利用谷歌浏览器的F12工具进行抓包分析,从而获取目标网站的数据。首先,我们需要使用Python编写爬虫的代码,通过模拟浏览器发送网络请求来获取网页的内容。然后,可以利用F12工具分析网页的请求和响应,找到目标数据所在的请求,并提取出需要的内容进行处理和存储。 使用F12工具抓包可以帮助我们好地理解网页的请求流程和数据传输过程,从而好地编写和优化爬虫的代码。通过结合F12工具和Python爬虫,我们可以高效地进行数据采集和处理,为数据分析和应用提供多有价值的资源。同时,也需要注意遵守爬虫的合法使用规范,避免对目标网站造成不必要的负担和影响。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值