流量分析--python--pyshark模块常用函数

最新推荐文章于 2024-09-17 23:15:58 发布
最新推荐文章于 2024-09-17 23:15:58 发布
阅读量350 收藏 4
点赞数 3
文章标签: python 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/huangdingyu6/article/details/142209484
版权

环境配置

首先在pyshark默认tshark路径是"C:\Program Files\wireshark"下的所以我们的wireshark要默认安装在c盘

安装完成之后

在pycharm中安装pyshark模块:pip install pyshark

这样子就可以使用pyshark模块了

import pyshark

cap = pyshark.FileCapture('pcapng.pcapng',tshark_path='c:/Program Files/Wireshark/tshark.exe',display_filter='http')
print(cap[0])
#三个个参数分别指定输入文件和 tshark 路径和需要过滤出来的协议




#打印结果如下
Packet (Length: 464)
Layer SLL
:	Packet type: Sent by us (4)
	Link-layer address type: Ethernet (1)
	Link-layer address length: 6
	Source: a0:a4:c5:94:1f:7e
	Unused: 0000
	Protocol: IPv4 (0x0800)
Layer IP
:	0100 .... = Version: 4
	.... 0101 = Header Length: 20 bytes (5)
	Differentiated Services Field: 0x00 (DSCP: CS0, ECN: Not-ECT)
	0000 00.. = Differentiated Services Codepoint: Default (0)
	.... ..00 = Explicit Congestion Notification: Not ECN-Capable Transport (0)
	Total Length: 448
	Identification: 0x5ca7 (23719)
	010. .... = Flags: 0x2, Don't fragment
	0... .... = Reserved bit: Not set
	.1.. .... = Don't fragment: Set
	..0. .... = More fragments: Not set
	...0 0000 0000 0000 = Fragment Offset: 0
	Time to Live: 64
	Protocol: TCP (6)
	Header Checksum: 0x1cdc [validation disabled]
	Header checksum status: Unverified
	Source Address: 192.168.31.25
	Destination Address: 192.168.31.75
Layer TCP
:	Source Port: 57124
	Destination Port: 80
	Stream index: 7
	Conversation completeness: Incomplete, ESTABLISHED (7)
	..0. .... = RST: Absent
	...0 .... = FIN: Absent
	.... 0... = Data: Absent
	.... .1.. = ACK: Present
	.... ..1. = SYN-ACK: Present
	.... ...1 = SYN: Present
	Completeness Flags: ···ASS
	TCP Segment Len: 396
	Sequence Number: 1    (relative sequence number)
	Sequence Number (raw): 1499439008
	Next Sequence Number: 397    (relative sequence number)
	Acknowledgment Number: 1    (relative ack number)
	Acknowledgment number (raw): 2062611008
	1000 .... = Header Length: 32 bytes (8)
	Flags: 0x018 (PSH, ACK)
	000. .... .... = Reserved: Not set
	...0 .... .... = Accurate ECN: Not set
	.... 0... .... = Congestion Window Reduced: Not set
	.... .0.. .... = ECN-Echo: Not set
	.... ..0. .... = Urgent: Not set
	.... ...1 .... = Acknowledgment: Set
	.... .... 1... = Push: Set
	.... .... .0.. = Reset: Not set
	.... .... ..0. = Syn: Not set
	.... .... ...0 = Fin: Not set
	TCP Flags: ·······AP···
	Window: 502
	Calculated window size: 64256
	Window size scaling factor: 128
	Checksum: 0xd99f [unverified]
	Checksum Status: Unverified
	Urgent Pointer: 0
	Options: (12 bytes), No-Operation (NOP), No-Operation (NOP), Timestamps
	TCP Option - No-Operation (NOP)
	Kind: No-Operation (1)
	TCP Option - Timestamps: TSval 208884719, TSecr 904220019
	Length: 10
	Timestamp value: 208884719
	Timestamp echo reply: 904220019
	Timestamps
	Time since first frame in this TCP stream: 0.000521527 seconds
	Time since previous frame in this TCP stream: 0.000204703 seconds
	SEQ/ACK analysis
	iRTT: 0.000316824 seconds
	Bytes in flight: 396
	Bytes sent since last PSH flag: 396
	TCP payload (396 bytes)
	TCP Option - No-Operation (NOP)
	Kind: No-Operation (1)
	Kind: Time Stamp Option (8)
Layer HTTP
:	GET /shell.php?pass=187 HTTP/1.1\r\n
	Expert Info (Chat/Sequence): GET /shell.php?pass=187 HTTP/1.1\r\n
	GET /shell.php?pass=187 HTTP/1.1\r\n
	Severity level: Chat
	Group: Sequence
	Request Method: GET
	Request URI: /shell.php?pass=187
	Request URI Path: /shell.php
	Request URI Query: pass=187
	Request URI Query Parameter: pass=187
	Request Version: HTTP/1.1
	Content-type: application/x-www-form-urlencoded\r\n
	User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; WOW64; Trident/5.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; InfoPath.3; .NET4.0C; .NET4.0E)\r\n
	Host: 192.168.31.75\r\n
	Accept: text/html, image/gif, image/jpeg, *; q=.2, */*; q=.2\r\n
	Connection: keep-alive\r\n
	Full request URI: http://192.168.31.75/shell.php?pass=187
	HTTP request 1/1
	\r\n

也可以遍历流量包


import pyshark

cap = pyshark.FileCapture('./pcapng.pcapng',tshark_path='c:/Program Files/Wireshark/tshark.exe',display_filter='http')

for p in cap:
    print(p)

单独看IP层

print(cap[0].ip)  #单独看IP层
print(dir(pcap[0]))  #查看流量包的可用字段

pyshark获取data-text-lines字段的值

我们可以看看如何获取

import pyshark

cap = pyshark.FileCapture('./swt1.pcapng',tshark_path='c:/Program Files/Wireshark/tshark.exe',display_filter='http')
print(dir(cap[0].http))

然后我们既可以看到调用函数'file_data'

cap[0].http.file_data

小菜鸡勿喷,请大家点点赞,每天都会更新一些关于web安全,以及流量分析,密码学方向的解题骚姿势。

顺问冬安I
关注
python网络数据包分析_Pyshark:使用了WirdSharkPython数据包解析工具(Tshark
weixin_39907157的博客
12-04 4106
PysharkPyshark是一款针对tsharkPython封装器,在Pyshark的帮助下,广大研究人员可以使用wireshark的解析器来进行Python数据包解析。扩展文档:【Pyshark】虽然目前社区也有多款针对Python包的解析模块,但Pyshark与它们不同的是,它本身并不会解析任何数据包,它只会使用tshark的功能(Wireshark命令行实用工具)来导出XML并完成包解析...
Python3+pyshark捕获数据包并保存为文件
weixin_34018202的博客
10-10 2660
一、直接使用wireshark捕获数据包并保存为文件 可以使用wireshark通过图形界面的操作来实现捕获数据包并保存为文件。 wireshark默认捕获的数据包保存为临时文件,如果最后退出时不选择保存那么临时文件将会被删除。 可以在“菜单栏----捕获----选项----输出”窗口进行配置,指示wireshark直接将捕获结果保存为文件。 文件----数据包要保存到的文件 输出格式----数据...
1.1、Pyspark模块介绍.
风中一叶
11-23 1097
pyspark是Sparkpython API,提供了使用python编写并提交大数据处理作业的接口。 在pyspark里大致分为5个主要的模块 1. pyspark模块,这个模块四最基础的模块,里面实现了最基础的编写Spark作业的API。这个模块里面有以下内容: Sparkcontext:它是编写Spark程序的主入口 RDD:分布式弹性数据集,是Spark内部中最重要的抽象 Br...
pyspark模块介绍
微信号:RunsenLiu
04-29 1478
pyspark是Sparkpython API,提供了使用python编写并提交大数据处理作业的接口。 在pyspark里大致分为5个主要的模块 pyspark模块,这个模块四最基础的模块,里面实现了最基础的编写Spark作业的 API。这个模块里面有以下内容: Sparkcontext:它是编写Spark程序的主入口 RDD:分布式弹性数据集,是Spark内部中最重要的抽象 Broadc...
python利用pyshark模块抓包并提取字段之探测局域网各个设备的信息
weixin_38858749的博客
01-19 3394
环境:python3.5,pycharm,wireshark 离线版本:分析已有的pcap文件: import pyshark cap = pyshark.FileCapture(input_file="D:\\test2.pcap",display_filter="browser") #capture.sniff(timeout=10) count = [] def counter(*args): count.append(args[0]) # print(args[0].ip.src)
python抓包 -- 用wireshark抓包、解析--scapyPyShark
weixin_45939263的博客
12-11 7512
只捕获源地址为192.168.1.125且目的端口为80的流量:src host 192.168.1.125 && dst port 80。prn: 定义回调函数,使用lambda表达式来写回调函数(当符合filter的流量被捕获时,就会执行回调函数)只捕获某个MAC地址主机的交互流量:ether src host 00:87:df:98:65:d8。只捕获来源于某一IP的主机流量:src host 192.168.1.125。只捕获除80端口以外的其他端口流量:!只捕获80端口的流量:port 80。
python读取数据流_python3+pyshark读取wireshark数据包并追踪telnet数据流
weixin_39860064的博客
12-01 1459
一、程序说明本程序有两个要点,第一个要点是读取wireshark数据包(当然也可以从网卡直接捕获改个函数就行),这个使用pyshark实现。pyshark是tshark的一个python封装,至于tshark可以认为是命令行版的wireshark,随wireshark一起安装。第二个要点是追踪流,追踪流在wireshark中是“tcp.stream eq 70”之类的形式,但是70这类值暂是不知道...
python解析pcap包,python-用scapy读取PCAP文件
weixin_30628943的博客
03-26 1156
我有大约10GB的pcap数据和IPv6流量,用于分析存储在IPv6头和其他扩展头中的信息.为此,我决定使用Scapy框架.我尝试了rdpcap函数,但是对于如此大的文件,不建议这样做.它试图将所有文件加载到内存中并卡在我的情况下.我在网上发现在这种情况下建议使用嗅探器,我的代码如下所示:def main():sniff(offline='traffic.pcap', prn=my_method,...
python pcap模块WIN32 64位版本
05-12
了解这些知识点后,你可以利用Python的pcap模块开发网络监控、入侵检测系统、数据分析或其他与网络流量相关的应用程序。在实际项目中,确保遵循网络安全法规,合法并负责任地使用数据包捕获功能。
高级语言程序设计(Python)- 网络编程基础
# 1. 理解网络编程基础 ## 1.1 什么是网络编程 网络编程是指利用计算机网络进行通信和数据交换的编程技术。它允许不同的计算机通过网络进行数据传输和通信,实现信息的交互与共享。 ## 1.2 网络编程的基本原理 ...
Pyshark的使用方法
热门推荐
Clannad_niu的博客
04-18 2万+
PyShark中进行数据包分析的两个典型方法是使用FileCapture和LiveCapture模块。前者从一个存储的捕获文件中导入u数据包,后者将使用本机的网络接口进行嗅探。使用这两个模块都会返回一个capture对象。我们首先来了解一下这两个模块如何使用。两个模块提供相似的参数来控制 capture 对象中返回的数据包。下面的定义直接从模块的docstring中获取:interface: [仅...
ms17-010漏洞攻击中的数据包分析技巧
# 1. 介绍MS17-010漏洞 ## 1.1 什么是MS17-010漏洞 MS17-010漏洞是指微软Windows操作系统中的一个远程代码执行漏洞,影响版本包括Windows Vista、Windows 7、Windows 8.1、Windows 10等。攻击者可以利用此漏洞在...
Pyshark分析pcap文件
ace_fei的专栏
05-24 1万+
Filtering packets:Filtering packets can be done with any capture object, like so:filtered_cap = pyshark.FileCapture(path_to_file, display_filter='http') filtered_cap2 = pyshark.LiveCapture('eth0', bpf_
Python世界:力扣29题两数相除算法实践
来知晓的博客
09-13 456
除法运算本质是减法,从理解原理到真正实现还是有距离,建议初步理解后,不参考任何代码,完全自己复现一遍,体会更深。注意提示:目的就是提醒越界问题:-2^31/-1=2&31,超过了整数表达范围。本问题来自于力扣29题,在做完大数相乘后,顺带也看下两数相除。将两数相除,要求不使用乘法、除法和 mod 运算符。给定两个整数,被除数。
[Python数据可视化]Plotly Express: 地图数据可视化的魅力
最新发布
William数据分析的博客
09-17 594
在数据分析和可视化的世界中,地图数据可视化是一个强大而直观的工具,它可以帮助我们更好地理解和解释地理数据。Python 的 Plotly Express 提供了一个简单而强大的方式来创建各种地图。本文将通过一个简单的示例,展示如何使用 Plotly Express 来创建一个交互式的地图,并探讨其在地图数据可视化方面的应用。
Tcl lnit error: Can’t find a usable init.tcl in the following directories 问题解决
梦想闹钟
09-15 480
实际研究后发现,其实py2exe已经把打包需要的lib放在dist文件夹下了,但是打包后的程序运行后却没有去lib下找,而是去找系统自带的环境变量里找,所以找不到。这个问题出现在我用py2exe打包了一个包含tkinter的图形化界面,在当前电脑上运行无问题,在移动到新电脑上后提示报错、getcwd用于获取当前工作目录绝对路径,在设置环境的变量的时候它用的是绝对路径-所以也导致了在当前电脑上能用而移动后不能用。解决方法是在你的程序里重新设置下环境变量,而且是用相对路径的形式。
JUC从实战到源码:中断机制与API实现
qq_43843951的博客
09-12 1172
在Java中,线程中断是一种机制,用于通知线程应该停止当前正在执行的任务。中断通常用于协同线程之间的合作,以便让线程在适当的时候终止其工作,尤其是在长时间运行的任务或阻塞操作中。通过学了多线程以及synchronized的相关知识,接下来就到了学习线程中断知识。
opencv学习:calcHist 函数绘制图像直方图及代码实现
mohanyelong的博客
09-13 1501
opencv学习:calcHist 函数绘制图像直方图及代码实现
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值