Python基于pypcap、dpkt的抓包、量化工具及抓包长度与wireshark不匹配的问题

已于 2022-08-04 17:37:22 修改
阅读量755 收藏 2
点赞数
文章标签: 服务器 数据库 运维
于 2022-08-04 17:36:28 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ghsshou/article/details/126163475
版权

抓包、量化功能实现

在服务器上通过交换机流量镜像导出来数据到服务器,然后用服务器网卡进行抓包。同时将报文存到数据库中。
初期版本进行逐包抓取,后来发现存到数据库的报文信息与存取的pcap文件不匹配,后经分析,应该是数据量过大,逐包信息提交到数据库,无法全量存取(10G网口,如果按照64B的报文长度,每秒约有2000w条数据,即使1514的报文长度,也有每秒近200w条数据),即使采用多进程、分配存储,也无法实现全量存储。
考虑到实际需求,决定退而求其次,在抓包器上同时做量化,即按照给定的时间尺度,统计单位时间长度内的报文数量、报文长度和等,只存储量化后的数据即可。
适用场景:可以基于量化后的数据对业务流进行分析,可以牺牲逐包的细节信息。
以下是部分代码:

import time
from multiprocessing import Process, Queue
import logging
from src.persistence import mysql_opeation
from src.traffic_capture.traffic_trace_entity import TrafficTraceEntity, TrafficTraceQuantization
import src.persistence.mysql_opeation as mysql_helper

# 日志格式
logging.basicConfig(level=logging.INFO, format='%(asctime)s - %(pathname)s[line:%(lineno)d] - %(levelname)s: %(message)s ')

config = {
    "net_card_name": "ens1f1",
    "default_capture_time": 60,  # 默认采集时间
    "commit_pkt_num_once": 100000,  # 一次提交数据库的数据包数量
    "quantized_granularity": 5 * 1000,  # 50 ms
    # "quantization_type": 1,  # 1代表byte
    "quantization_time_unit": 'microsecond'  # 1 表示微秒
}

# lock = threading.Lock()
# pkt_info = []
has_data = False  # 数据库中已经存入数据的标志


def start_capture(duration, q: Queue):
    """
    开始采集
    :param duration: 欲采集的时间,默认1min
    :param q: 信息传递
    :return:
    """
    global has_data
    endFlag = False
    has_data = False
    capture_time = config['default_capture_time']
    if duration is not None and duration > 0:
        capture_time = duration
    pc = pcap.pcap(config['net_card_name'], promisc=True, immediate=True, timeout_ms=50)
    pcap_filepath = '/home/tsn/code/traffic_analyser_new/pkts_{}.pcap'.format(time.strftime("%Y%m%d-%H%M%S",
                                                                                            time.localtime()))
    pcap_file = open(pcap_filepath, 'wb')
    writer = dpkt.pcap.Writer(pcap_file)
    # 起一个线程,用来数据持久化
    start_time = time.time()
    # tmp_thread = threading.Thread(target=commit_data)
    # tmp_thread.start()
    pkt_counter = 0
    # 开始采集
    for ptime, pdata in pc:
        writer.writepkt(pdata, ptime)
        pkt_counter += 1
        # logging.info('cap: %d' %pkt_counter)
        # ethernet_data = dpkt.ethernet.Ethernet(pdata)
        if time.time() - start_time >= capture_time:
            # 到达指定的采集时间后退出
            endFlag = True
        q.put({'ethernet_data': pdata,
               'ptime': ptime,
               'end_flag': endFlag})
        if endFlag:
            break

    # tmp_thread.join()
    return pkt_counter

def commit_data_and_quantized(q: Queue, result_Queue: Queue):
    """
    数据处理及存储,但不进行量化,适用于低速端口
    :param q:
    :param result_Queue: 储存结果
    :return:
    """
    logging.info("ready to commit data...")
    global has_data

    end_flag = False
    classed_traffic_ctr = {}  # 按照IP对记录所有报文数
    traffic_time_rec = {}  # 按照IP对记录量化时,该量化区间的第一个报文的时戳
    quantized_num = {}  # 按照IP对记录量化区间的值
    quantized_pkt_num = {}  # 按照IP对记录量化区间的报文数的值
    tmp_sum = {}
    while not end_flag:
        if not q.empty():
            has_data = True

            val = q.get(True)
            origin_data = val['ethernet_data']
            # frame_len = len(origin_data)
            ethernet_data = dpkt.ethernet.Ethernet(origin_data)
            ptime = val['ptime'] * 1000000
            end_flag = val['end_flag']
            if not isinstance(ethernet_data.data, dpkt.ip.IP):
                # 非IP报文不采集
                continue

            # print(ptime, "%s -> %s" % (ip_addr(ethernet_data.data.src), ip_addr(ethernet_data.data.dst)))
            if (ip_addr(ethernet_data.data.src), (ip_addr(ethernet_data.data.dst))) not in classed_traffic_ctr:
                # 第一个报文
                classed_traffic_ctr[(ip_addr(ethernet_data.data.src), (ip_addr(ethernet_data.data.dst)))] = 1
                traffic_time_rec[(ip_addr(ethernet_data.data.src), (ip_addr(ethernet_data.data.dst)))] = ptime
                quantized_num[(ip_addr(ethernet_data.data.src), (ip_addr(ethernet_data.data.dst)))] = len(
                    ethernet_data)
                quantized_pkt_num[(ip_addr(ethernet_data.data.src), (ip_addr(ethernet_data.data.dst)))] = 1
                tmp_sum[(ip_addr(ethernet_data.data.src), (ip_addr(ethernet_data.data.dst)))] = 0
            else:
                classed_traffic_ctr[(ip_addr(ethernet_data.data.src), (ip_addr(ethernet_data.data.dst)))] += 1
                interval_start = traffic_time_rec[(ip_addr(ethernet_data.data.src), (ip_addr(ethernet_data.data.dst)))]
                # 量化判断
                if ptime - interval_start + 1 > config['quantized_granularity'] or end_flag:
                    """ 量化 [interval_start, boundary), boundary节点计入下一个区间。例如,区间长度设置为50,那么[0, 49), [50, 99)..
                    因此 判断条件+1"""
                    if end_flag:
                        # 最后一个包
                        quantized_num[(ip_addr(ethernet_data.data.src), (ip_addr(ethernet_data.data.dst)))] += len(
                            ethernet_data)
                        quantized_pkt_num[(ip_addr(ethernet_data.data.src), (ip_addr(ethernet_data.data.dst)))] += 1
                    quantized_trace = TrafficTraceQuantization(start_time=interval_start,
                                                               quantization_num=quantized_num[
                                                                   (ip_addr(ethernet_data.data.src),
                                                                    (ip_addr(ethernet_data.data.dst)))],
                                                               quantized_pkt_num=quantized_pkt_num[
                                                                   (ip_addr(ethernet_data.data.src),
                                                                    (ip_addr(ethernet_data.data.dst)))],
                                                               interval_len=min(ptime - interval_start,
                                                                                config['quantized_granularity']),
                                                               time_unit=config['quantization_time_unit'],
                                                               src_IP=ip_addr(ethernet_data.data.src),
                                                               dst_IP=ip_addr(ethernet_data.data.dst),
                                                               src_Mac=mac_addr(ethernet_data.src),
                                                               dst_Mac=mac_addr(ethernet_data.dst),
                                                               src_port=0,
                                                               dst_port=0)  # ToDo 量化时按照IP地址将不同的端口做了聚合
                    tmp_sum[(ip_addr(ethernet_data.data.src), (ip_addr(ethernet_data.data.dst)))] += quantized_pkt_num[
                                                                   (ip_addr(ethernet_data.data.src),
                                                                    (ip_addr(ethernet_data.data.dst)))]

                    mysql_helper.add_quantized_data([quantized_trace])
                    # ptime - 1 是将量化区间定位给到该报文对应的ptime之前,否则会引起边界报文的重合
                    # ToDo 提交数据 单独进程
                    traffic_time_rec[(ip_addr(ethernet_data.data.src), (ip_addr(ethernet_data.data.dst)))] = ptime
                    quantized_num[(ip_addr(ethernet_data.data.src), (ip_addr(ethernet_data.data.dst)))] \
                        = len(ethernet_data)
                    quantized_pkt_num[(ip_addr(ethernet_data.data.src), (ip_addr(ethernet_data.data.dst)))] = 1

                else:
                    quantized_num[(ip_addr(ethernet_data.data.src), (ip_addr(ethernet_data.data.dst)))] += len(
                        ethernet_data)
                    quantized_pkt_num[(ip_addr(ethernet_data.data.src), (ip_addr(ethernet_data.data.dst)))] += 1
    logging.info('Exit thread of storing quantized data')
    logging.info(classed_traffic_ctr)
    result_Queue.put(sum([classed_traffic_ctr[i] for i in classed_traffic_ctr]))


def get_has_data_status():
    global has_data
    return has_data


def mac_addr(mac):
    return '%02x:%02x:%02x:%02x:%02x:%02x' % tuple(mac)


def ip_addr(ip):
    return '%d.%d.%d.%d' % tuple(ip)


def main_process(duration, reset_flag):
    """
    开始采集
    :param duration: 欲采集的时间,默认1min
    :param reset_flag: 是否需要清空数据库
    :return:
    """
    # 主进程
    global has_data
    logging.info("Capture time is set to %d s" % duration)
    logging.info("Start to capture...")
    if reset_flag:
        logging.info("Clarify database")
        mysql_helper.createTrafficTraceTable()
        mysql_helper.createTrafficTraceQuantizationTable()
    q = Queue()
    result_Queue = Queue()
    p_com = Process(target=commit_data_and_quantized, args=(q, result_Queue))
    p_cap = Process(target=start_capture, args=(duration, q))
    p_com.start()
    p_cap.start()
    p_cap.join()
    p_com.join()
    logging.info("finish capture")
    return result_Queue.get()

量化后的数据实体

class TrafficTraceQuantization:
    start_time: int
    '''量化间隔长度'''
    interval_len: int
    '''量化间隔内的数值'''
    quantization_num: int
    '''量化间隔内的包数量'''
    quantized_pkt_num: int
    '''时间单位'''
    time_unit: str

    src_IP: str
    src_Mac: str
    src_port: int
    dst_IP: str
    dst_Mac: str
    dst_port: int

    def __init__(self, start_time, interval_len, quantization_num, quantized_pkt_num, time_unit,
                 src_IP, src_Mac, src_port, dst_IP, dst_Mac, dst_port):
        self.start_time = start_time
        self.interval_len = interval_len
        self.quantization_num = quantization_num
        self.quantized_pkt_num = quantized_pkt_num
        self.time_unit = time_unit
        self.src_IP = src_IP
        self.src_Mac = src_Mac
        self.src_port = src_port
        self.dst_IP = dst_IP
        self.dst_Mac = dst_Mac
        self.dst_port = dst_port

数据库的操作:

def dropTable(name):
    """
    删除表
    :param name: 新建表名
    :return:
    """
    stmt = "DROP TABLE IF EXISTS " + name
    mycursor.execute(stmt)


def createTrafficTraceQuantizationTable():
    dropTable(quantized_traffic_trace_table_name)
    mycursor.execute("CREATE TABLE quantized_traffic_trace(id INT AUTO_INCREMENT PRIMARY KEY, start_time BIGINT, "
                     "interval_len INT, quantization_num INT, quantized_pkt_num INT, time_unit VARCHAR(48), "
                     "src_IP VARCHAR(48), src_Mac VARCHAR(48), src_port INT, dst_IP VARCHAR(48), "
                     "dst_Mac VARCHAR(48), dst_port INT)")
def add_quantized_data(quantized_info: List[TrafficTraceQuantization]):
    # print(pkt_info)
    # 分批储存
    batch_size = 10000
    repeat = int(math.ceil(len(quantized_info) / batch_size))
    for i in range(repeat):
        tmp_pkt_info = quantized_info[i * batch_size: (i + 1) * batch_size]
        values = []
        for quan in tmp_pkt_info:
            values.append((quan.start_time, quan.interval_len, quan.quantization_num, quan.quantized_pkt_num,
                           quan.time_unit, quan.src_IP, quan.src_Mac, quan.src_port, quan.dst_IP, quan.dst_Mac,
                           quan.dst_port))
        mycursor.executemany("INSERT INTO " + quantized_traffic_trace_table_name +
                             "(start_time, interval_len, quantization_num, quantized_pkt_num, time_unit, src_IP, "
                             "src_Mac, src_port, dst_IP, dst_Mac, dst_port) "
                             "VALUES(%s, %s, %s, %s, %s, %s, %s, %s, %s, %s, %s)", values)
        con.commit()
    return len(quantized_info)

### python dpkt解包和wireshark解包以太帧长度不一致的问题

后来发现,虽然pcap文件和数据库统计出来的报文数量一致,但是报文长度(字节数)依然不一致,经过深入分析,发现dpkt解析时,当报文payload为0时,其长度为54,而wireshark中,为60,具体的:
dpkt中,如下图
在这里插入图片描述
不对数据帧做补齐,因此以太帧头(6B目的地址+6B源地址+2B类型)14B+IP报文长40字节(payload长度为0,IP固定头部长度20B)=54B
而在wireshark中:
在这里插入图片描述
会自动进行补齐

可以参考:

抓包分析以太网帧和IP数据包,头部那么多东东用来干啥的,扫盲篇_wx5ea58764ce673的技术博客_51CTO博客

[Wireshark TS | Padding 和 Trailer 有啥关系 - 知乎 (zhihu.com)](

ghsshou
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
python 解析pcap数据长度
青石玄霄
01-06 1446
# -*- coding: UTF-8 -*- import dpkt import collections # 有序字典需要的模块 import time def main(file_path): f = open(file_path, 'rb') #python3 pcap = dpkt.pcap.Reader(f) # 先按.pcap格式解析,若解析不了,则按pcapng格式解析 all_pcap_data = collections.OrderedDict().
Python黑客编程3网络数据监听和过滤
dexi113的博客
06-10 1830
它可以很容易地处理一些典型操作,比如端口扫描,tracerouting,探测,单元 测试,攻击或网络发现(可替代hping,NMAP,arpspoof,ARP-SK,arping,tcpdump,tethereal,P0F等)。这段代码中新增了一个anlyCap方法,该方法接收由pcap捕获的http数据包,然后先取得ip数据报文,从ip报文中再提取tcp数据包,最后从tcp数据包中提取http请求的数据,将其打印出来。对于数据包的分析,新手可能会感到迷茫,如何选择合适的协议和方法来分析呢?
Python使用pypcap扩展包,抓取视频网站的视频URL
Wzanzan的博客
08-08 1176
这里写自定义目录标题前言第一步、安装Python(2.7.13 64位)第二步、安装Python的扩展包pypcapy==1.1.2第三步、安装Python的扩展包dpkt(这个没什么特别的,直接装就可以。)第四步、开始上代码(此时打开你的浏览器开始看视频,抓url。) 前言 最近工作需要爬取视频URL,本人在网上找了很多资料,最终绕了很大一个弯子才搞定,写此博客供自己以后查看,或提供给有此需求的...
wireshark抓包长度和内容与原始报文不同
陈贤鹏的博客
01-09 4271
wireshark抓包长度和内容与原始报文不同,wireshark抓包会自动在原始报文前面添加40个字节数据。 如果有多个报文,则在所有报文前面添加40个字节数据,并且在相隔报文中间添加16个字节数据。...
Ubantu 16.04更新python版本(3.5 -> 3.9)【附:win10安装pypcap库解决办法】
weixin_46447549的博客
01-31 453
为了毕设而奋斗
python调用tcpdump抓包过滤的方法
12-25
之前在linux用python脚本写一个抓包分析小工具,实在不想用什么libpcappypcap所以,简单来了个tcpdump加grep搞定。基本思路是分别起tcpdump和grep两个进程,进程直接通过pipe交换数据,简单代码如下: #! /usr/...
利用python-pypcap抓取带VLAN标签的数据包方法
12-26
而libpcap虽然是基于socket实现抓包,但在收到数据包后,会进一步恢复出剥离的VLAN信息,能够满足需要抓取带VLAN标签信息的数据包的需求场景。 python-pypcap包是对libpcap库的python语言封装,本文主要介绍如果利用...
JDC:对京东云app进行抓包,实现监控路由器运行信息
03-10
在IT行业中,网络抓包是一种常见的技术手段,用于分析网络数据传输的过程,找出可能存在的问题或者获取特定信息。本文将详细讲解如何使用Python进行网络抓包,以监控京东云(JDC)App的运行信息。 首先,我们需要...
pypcap 全部安装包 python 3.7 解决 Microsoft Visual C++14.0 is required
06-08
python pcap 全部安装包,按步骤安装即可 先安装vc_redist 然后安装npcap 然后安装build _tools 最后解压pypcap cd pypcap-1.2.3 python setup.py install 已解决 Microsoft Visual C++14.0 is required
21.3 Python 使用DPKT分析数据包
最新发布
CSDN
10-20 8522
dpkt项目是一个`Python`模块,主要用于对网络数据包进行解析和操作。它可以处理多种协议,例如`TCP`、`UDP`、`IP`等,并提供了一些常用的网络操作功能,例如计算校验和、解析`DNS`数据包等。由于其简单易用的特性,`dpkt`被广泛应用于网络安全领域,例如流量分析、漏洞利用、入侵检测等。使用该库可以快速解析通过各类抓包工具抓到的数据包,从而提取分析包内的参数。在分析数据包之前我们需要抓取特定数据包并保存为`*.pcap`格式,通常情况下这种数据包格式可通过`WireShark`等工具抓取到,
pypcap-1.1.4.tar
02-24
linux Python函数标准库 pypcap-1.1.4.tar ------------------------
python基于winpcap抓包和发包
12-20
该脚本使用python通过winpcap和网卡驱动交互,从而实现抓包和跨协议栈的发包功能; 在入口函数中增加了脚本使用说明和举例! s = SNIFFER(interface)#设置待监听的网卡 s.start()#设置启动线程开始监听网卡 time.sleep(10)#主线程休眠10秒钟 s.stop()#停止监听网卡 联系我:jetmie@126.com
[Python] 解析Pcap三个Python库(Dpkt Scapy Pyshark)应用实例
热门推荐
coderge's CSDN Blog.
06-10 1万+
如果要处理pcap文件,python有仨库比较有名(如果有传输层的话) 包含以下信息。 Pyshark Or Wireshark 如果只是想要所有packet的[src_IP, dst_IP, src_MAC, dst_MAC, Protocol, TimeStamp, Info]等信息,可以直接打开Wireshark导出这个操作也可以用Pyshark库完成。 使用 PyShark 和 scapypcap 文件中读取字段并填充 CSV pcap 中的每个数据包都呈现到 csv 文件的一行中。要提取的特
python基于千兆以太网的FPGA频谱分析,上位机部分
CounterGlew的博客
03-07 1507
基于千兆以太网的FPGA简易频谱仪设计,使用python的sniff函数实时监听抓包以太网网口数据,使用scipy中fft进行频谱分析,使用matplotlib.figure的相关内容实现图像刷新,与pyqt5结合进行界面设计。
Python解析pcap包——UDP数据包
sklr2010的博客
04-28 5556
python解析pcap报文——UDP
python分析pcap文件_使用PYTHON解析WiresharkPCAP文件
weixin_39800957的博客
11-30 1251
PYTHON首先要安装scapy模块PY3的安装scapy-python3,使用PIP安装就好了,注意,PY3无法使用pyinstaller打包文件,PY2正常PY2的安装scapy,比较麻烦from scapy.all import *pcaps = rdpcap("file.pcap")pcaps便是解析后的类似结构体的东西了packet=pcaps[0] #第1个数据包结构packet.ti...
python pypcap_pypcap 安装
weixin_29325007的博客
02-09 737
1.下载winpcap开发包https://www.winpcap.org/devel.htm2.下载完后解压WpdPack\Include下的放入C:\WpdPack\Include\pcap 不替换,然后复制到python的include目录WpdPack\Lib放入python的lib目录3.安装pip install pypcap出现该错误修改python的Lib\site-package...
利用pypcapdpktpylibnet轻松实现网络捉包、网络包分析和网络包修改
01-08 5316
最近利用python做一个网络捉包、包分析、包重写修改的程序。因为要修改捉到的TCP包、涉及修改链路层的包(以太网),用到了pylibnet库。   一、pypcap捉包并用dpkt组成对象。         pc = pcap.pcap('eth0', 65535, True, False)         pc.setfilter('tcp port 80'')         fo
pypcap安装过程记录
tumin999的专栏
08-21 7104
最近看到可以通过python抓包分析,比起以前通过wireshark+lua来分析要更顺手一些,因此也考虑使用pypcap来做一些尝试。但直接pip install pycap总是失败,因此写下此文档来记录安装过程 pypcap的官网地址是:https://github.com/dugsong/pypcap,可以看到最后更新日期为2010年,因此果断使用winpython 2.7环境来
python pypcap
05-27
Python Pcap 是一个用于处理网络数据包的 ...不过需要注意的是,Python Pcap 已经很久没有更新了,可能存在一些安全性问题,建议谨慎使用。如果需要进行网络数据包的处理,可以考虑使用 Scapy 等其他 Python 模块。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值