pcap4j 实现java 抓包及DNS解析

最新推荐文章于 2024-04-16 15:39:05 发布
最新推荐文章于 2024-04-16 15:39:05 发布
阅读量7.3k 收藏 10
点赞数 1
分类专栏: Java相关
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lw0328/article/details/82591721
版权

目前java实现解析pcap格式的三方库很多,如jnetpcapjpcappcap4j,但是jnetpcap和jpcap已经很久没有更新了,而且jnetpcap的跨平台表现不是很好,在Linux系统上在很多问题,我这边是获取不到网卡信息(root方式启动)。
综合考虑下来决定采用pcap4j,pcap4j 目前支持DNS、SNMP,以及传输层TCP、UDP,网络层的ARP、ICMP等协议,但是暂不支持Http协议解析,作者在issue中提到2.0版本会添加http支持。

环境准备

Mac/Linux/UNIX 需要安装libpcap,windows环境需要安装winpcap
Centos

yum install libpcap-devel

Ubuntu

apt-get install libpcap-dev

Mac 

brew install libpcap

添加依赖

Gradle

compile 'org.pcap4j:pcap4j-core:1.+'
compile 'org.pcap4j:pcap4j-packetfactory-static:1.+'

Maven

<dependency>
  <groupId>org.pcap4j</groupId>
  <artifactId>pcap4j-core</artifactId>
  <version>[1.0, 2.0)</version>
</dependency>
<dependency>
  <groupId>org.pcap4j</groupId>
  <artifactId>pcap4j-packetfactory-static</artifactId>
  <version>[1.0, 2.0)</version>
</dependency>

代码实现

本部分不详细说明各个代码的实现逻辑,具体请查看代码注释吧。

获取抓包设备
可以根据设备名称、设备IP地址进行选择本地的网络设备,具体的代码如下:

  /**
     * 根据IP获取指定网卡设备
     * @param localHost 网卡IP
     * 
     * @return 指定的设备对象
     */
    public static PcapNetworkInterface getCaptureNetworkInterface(String localHost) {
        List<PcapNetworkInterface> allDevs;
        try {
            // 获取全部的网卡设备列表,Windows如果获取不到网卡信息,输入:net start npf  启动网卡服务
            allDevs = Pcaps.findAllDevs();

            for (PcapNetworkInterface networkInterface : allDevs) {
                List<PcapAddress> addresses = networkInterface.getAddresses();
                for (PcapAddress pcapAddress : addresses) {
                    // 获取网卡IP地址
                    String ip = pcapAddress.getAddress().getHostAddress();
                    if (ip != null && ip.contains(localHost)) {
                        // 返回指定的设备对象
                        return networkInterface;
                    }

                }
            }
        } catch (PcapNativeException e) {
            // TODO Auto-generated catch block
            e.printStackTrace();
        }
        return null;
    }

核心抓包代码

  /**
     *在线抓包以及保存至本地
     * 
     * @return
     * @throws InterruptedException
     */
    private boolean captureAndDumpLive() throws InterruptedException {
        //将回环地址替换成自己网卡地址( ipconfig 查看)
        PcapNetworkInterface nif = PcapNIfManager.getCaptureNetworkInterface("127.0.0.1");
        if (nif == null) {
            return false;
        }

        try {
            // 抓包
            pcapHandle = nif.openLive(SNAPLEN, PromiscuousMode.PROMISCUOUS, TIMEOUT);
            // 打开抓包数据写入文件
            dumper = pcapHandle.dumpOpen(DUMP_FILE);
            // 循环处理 -1 为持续抓包,直至中断退出,可以设定为正整数(抓包个数),
            pcapHandle.loop(-1, new CoreCaptureListener());
            //   也可以采用如下方式,进行循环抓包,
            /*
            while (true) {
                Packet packet = pcapHandle.getNextPacket();
                if (packet == null) {
                    continue;
                } else {
                    if (condition) {
                        break;
                    }
                }
            }*/

        } catch (PcapNativeException e) {
            e.printStackTrace();
            return false;
        } catch (NotOpenException e) {
            e.printStackTrace();
            return false;
        }
        return true;

    }

抓包处理 

 class CoreCaptureListener implements PacketListener {

        /* (non-Javadoc)
         * @see org.pcap4j.core.PacketListener#gotPacket(org.pcap4j.packet.Packet)
         */
        @Override
        public void gotPacket(Packet packet) {
            // 解析DNS 数据信息
            if (packet.contains(DnsPacket.class)) {
                DnsHeader dnsHeader = packet.get(DnsPacket.class).getHeader();
                if (dnsHeader.isResponse()) {
                    dnsHeader.getAnswers().get(0).getName();
                } else {
                    dnsHeader.getQuestions();
                    // DNS 记录类型
                    dnsHeader.getQuestions().get(0).getQType();
                }
            }
            try {
                dumper.dump(packet);
            } catch (NotOpenException e) {
                // TODO Auto-generated catch block
                e.printStackTrace();
            }

        }

    }

结语

只是简单介绍了下pcap4j的基本应用,详细的说明还请去github上查看或者查看在线doc
本文demo下载地址

焦虑中...
关注
  • 1
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 8
    评论
专栏目录
hspcap_流量监控_pcap4j解析http_pcap4j解析ssh_pcap4j_
09-29
使用pcap4j 进行 流量数据捕获,流量包解析
java包后对pcap文件解析示例
09-04
主要介绍了java包后对pcap文件解析示例,需要的朋友可以参考下
Java自动调用wireshark解析pcap文件并输出结果
最新发布
weixin_42209881的博客
04-16 441
左边是代码输出的字符串,右边是wireshark手动解析的,一模一样,如果想讲究的话,也可以把左边的字符串格式化,放在一个tree里,看起来也比较有层次感。首先主机上得先安装wireshark的工具软件,然后最好把环境变量配上,如果不配的话,调用的时候,需要用绝对路径,建议配上环境变量,关于pcap文件的介绍,和怎么使用代码手动生成一份pcap文件,可以参考我在其他文章中的介绍,直接就可以看到返回的结果,和wireshark里一模一样的,有了pcap文件之后,再看怎么调用wireshark解析
Pcap4J实现包器
雨的博客
03-11 2271
Pcap4J实现包器   前段时间搞包程序,打算使用Pcap4J实现,发现除了GitHub,其它资料少之又少,几乎都是不起作用。   被迫我一直看(日本作者!)英文注解的源码和sample和test,比较费劲+营养很少。因为几乎都是解析本地保存的包文件 同 初始化好的包类型对象做比较,没有对真实的网络环境包举例。都按指定类型初始化对象不是重点好不好,重点是怎么把到的包转换到指定类型!   说一下我们要使用Pcap4J的原因。   之前一直是使用jNetPcap的,但是它已经很久不更新代..
pcap4j 实现本地包以及解析DNS
09-10
前段时间搞包程序,使用Pcap4J实现,简单写了一个demo小程序,有需要的下。
JAVA】利用pcap4j实现网络数据取并转储
law_porcelain的博客
08-17 1228
利用pcap4j实现网络数据取并转储
网络安全系列-十九:使用Pcap4J读取pcap包内容并转换为hex显示
penriver的博客
04-26 1938
Pcap4J是一个用于捕获、生成和发送数据包的Java库。 Pcap4J通过JNA封装了一个本地包捕获库(libpcap、WinPcap或Npcap),并为您提供了面向java的api。 本文基于Pcap4J读取pcap包内容,并把二进制的packet转换为byte,hex,ascii形式,转换结果与wireshark一致
java pcap4j http_使用pcap4j进行
weixin_42105816的博客
02-13 1321
Troubleshooting是我平时工作中的重要内容,我几乎每天都会花一些时间在定位客户环境的问题上,有很多的问题都需要通过包来协助分析,比如定位SSL handshake失败,SNMP请求没响应的问题等。Linux平台一般使用tcpdump包,由于我们只能通过远程脚本调用的方式执行,所以对windows我没法使用wireshark之类的GUI工具,所以一般用netsh( 参考资料3)进行...
JNetCap/Pcap4j 带你快速实现java包器
ONE PIECE——伟大航道
05-29 4286
JNetCap/Pcap4j 带你快速实现java包器JNetCapPcap4j 老大说用java搞一个包器试试。ok,咔咔那就干: 首先,自己从底层开始写肯定不现实,然后就是一顿搜,了解到了libpcap,libpcap是个啥呢,看一看简介: Libpcap: 是 unix/linux 平台下的网络数据包捕获函数包,大多数网络监控软件都以它为基础。Libpcap 提供了系统独立的用户级别网络数据包捕获接口,并充分考虑到应用程序的可移植性。 Libpcap 在windows系统下有另外一个名字:w
pcap4j:一个用于捕获,制作和发送数据包的Java
02-03
Pcap4J Pcap4J是一个Java库,用于捕获,制作和发送数据包。 Pcap4J通过包装本地数据包捕获库( , 或 ),并为您提供面向Java的API。内容下载Pcap4J在Maven中央存储库中可用。 Pcap4J 1.8.2 : 带有源: 快照构建为...
python 包保存为pcap文件并解析的实例
09-19
Python在网络安全领域中被广泛用于数据包的取和分析,本实例主要讲解如何使用Python的Scapy库来包并保存为pcap文件,以及后续如何解析这些pcap文件。 首先,我们要导入必要的模块,包括`os`用于文件操作,以及...
Pcap4J包基本使用方法
热门推荐
alexsjr的博客
01-14 1万+
Pcap4J包基本使用方法说明:使用:第一步:第二步:包:例子的一些扩展:包后处理:Pcap4J内置支持的协议报文类型TIPS: 说明: 之前的项目需要一个Windows和Linux平台都能用的包模块,搜了之后发现jnetpcap、jpcap都已经很久没有更代码了,而且跨平台支持不好,所以考虑用Pcap4J。 Pcap4J和jNetPcap相同之处,都是基于libpcap/winpcap的...
Pcap4J
weixin_43480441的博客
10-18 1139
java中使用Pcap4J包学习使用pacp4j 必须要先安装环境依赖WinPcap 或者 libPcap 根据你的使用环境选择。
Pcap文件格式解析
nkekg
12-30 1031
一、24字节pcap文件头(一个文件只有一个),linktype为链路层类型,决定数据帧头结构,其他没啥用 typedef struct PcapFileHeader { unsigned long magic; /* 0xa1b2c3d4 */ unsigned short version_major; /* magjor Version 2 */ unsig...
Pcap数据包处理-提取数据包中的HTTP请求和响应
村中少年的专栏
01-24 3393
使用httpflow提取HTTP数据包的请求和响应
java pcap4j http_Java 实现 - 使用pcap4j + Xpcap-Go语言中文社区
weixin_28882103的博客
02-16 792
在博客Windows 平台如何包中,我们介绍了windows上如何不依赖三方包进行包.这里我们会介绍使用Java + pcap4j +npcap/libpcap 进行包的代码.安装依赖这个部分描述要完成包的相应依赖.Windows对于windows而言,你需要npcap 或者 winpcap.WinPcap (https://www.winpcap.org/) 使用的人很多, 其中包括大名...
网络包数据文件(.pcap/.cap)解析工具(Java实现
我要学Java_blog
09-27 6939
前言 pcap/.cap文件是常用的数据报存储格式文件,数据按照特定格式存储,普通编辑器无法正常打开该类型文件,使用Ultra Edit编辑器能够以16进制的格式查看数据,无法直观查看数据重要信息。需要特定的解析工具软件读取查看如WiresharkPortable或Microsoft Network Monitor等。 问题 然而一些开发任务需要数据文件(.pcap/.cap)某项信息进行后续处理,无法使用软件获取信息输入到程序中,对开发任务带来一些困难。 解决 引入pcap4j库,该库通过网
局域网内扫描设备的简单Java实现
燕归来兮
09-09 5464
个人博客原文链接 更多文章欢迎访问个人博客站点   在产品的使用中我们一般都要设置一个配置环节,这个环节可以设定主机的IP地址等信息,但是这样配置的话使得我们的产品用起来效果不是很好,因此我想到了实现局域网IP扫描的功能,IP局域网扫描是指定IP网段获取IP地址信息的方法,在加上PING命令来处理实现,检查该设备是否在线。   代码很简单,主要浏览就是获取主机名,然后检查该设备是否可用,如...
pcap4j编写内网扫描器
geqiandeyu07的博客
08-09 1116
一、功能 网存活主机扫描 二、执行结果 2.1和nmap执行结果对比 eclipse 内扫描执行结果: 使用nmap扫描执行结果: 三、实现原理 参考nmap 不同网段:nmap在扫描主机时先arp包解析到网关mac地址,然后发了ping包,icmp timestamp包,http ack包,和https syn包四种探测包。 同一网段:则只发送了arp包,解析到地址的ip则判定主机存活。 四、实现过程 选用开源框架pcap4j,...
java解析pcap文件五元组信息
07-01
### 回答1: Java可以利用第三方库Jpcap解析pcap文件的五元组信息。在使用Jpcap之前,需要先下载和安装Jpcap库。 首先,我们需要创建一个能够读取pcap文件的Capture对象。代码如下: `Capture capture = new Capture();` 然后,我们需要设置Capture对象的文件路径,指定pcap文件所在的位置。代码如下: `capture.openFile("filepath.pcap");` 接下来,我们可以通过循环遍历Capture对象的包,获取每个包的五元组信息。代码如下: ``` while(capture.getNextPacket() != null){ byte[] packet = capture.getPacket(); //解析五元组信息 //...代码 } ``` 在循环内部,我们可以利用Jpcap库提供的方法来解析包的五元组信息。五元组信息包括源IP地址、目标IP地址、源端口号、目标端口号和传输协议。具体解析方法如下: ``` Packet packet = new Packet(packet, Packet.PROTOCOL_IP); if (packet instanceof IPPacket) { IPPacket ipPacket = (IPPacket) packet; String sourceIP = ipPacket.getSourceAddress(); String destinationIP = ipPacket.getDestinationAddress(); int sourcePort = 0; int destinationPort = 0; if (packet instanceof TCPPacket) { TCPPacket tcpPacket = (TCPPacket) packet; sourcePort = tcpPacket.getSourcePort(); destinationPort = tcpPacket.getDestinationPort(); } else if (packet instanceof UDPPacket) { UDPPacket udpPacket = (UDPPacket) packet; sourcePort = udpPacket.getSourcePort(); destinationPort = udpPacket.getDestinationPort(); } String transportProtocol = ipPacket.protocolDescription; //打印五元组信息 System.out.println("源IP地址:" + sourceIP + ",目标IP地址:" + destinationIP + ",源端口号:" + sourcePort + ",目标端口号:" + destinationPort + ",传输协议:" + transportProtocol); } ``` 通过以上代码,我们可以获取pcap文件中每个包的五元组信息,并打印出来。 最后,记得在程序结束后关闭Capture对象,释放资源。代码如下: `capture.close();` 以上是Java解析pcap文件五元组信息的基本步骤和代码实现。通过利用Jpcap库,我们可以方便地获取pcap文件中的五元组信息,进行进一步的网络分析和处理。 ### 回答2: PCAP文件是一种常用的网络数据捕获文件格式,它可以用来存储网络数据包。在网络分析和安全领域中,解析PCAP文件的五元组信息非常重要。 五元组信息指的是TCP/IP协议栈中的五个重要参数,即源IP地址、目的IP地址、源端口号、目的端口号和协议类型。解析PCAP文件的五元组信息可以帮助我们分析网络通信的源和目的,识别网络中的主机和服务等。 对于Java程序来说,解析PCAP文件的五元组信息可以通过使用相关的库和API实现。以下是一个简单的示例代码,展示了如何使用开源库jpcap解析PCAP文件中的五元组信息: ```java import jpcap.*; import jpcap.packet.*; public class PCAPParser { public static void main(String[] args) throws Exception { // 打开PCAP文件 NetworkInterface[] devices = JpcapCaptor.getDeviceList(); JpcapCaptor captor = JpcapCaptor.openFile("filename.pcap"); // 逐个解析数据包 while (true) { Packet packet = captor.getPacket(); if (packet == null) break; // 获取五元组信息 if (packet instanceof IPPacket) { IPPacket ipPacket = (IPPacket) packet; String sourceIP = ipPacket.src_ip.getHostAddress(); String destinationIP = ipPacket.dst_ip.getHostAddress(); int sourcePort = 0; int destinationPort = 0; if (ipPacket instanceof TCPPacket) { TCPPacket tcpPacket = (TCPPacket) ipPacket; sourcePort = tcpPacket.src_port; destinationPort = tcpPacket.dst_port; } else if (ipPacket instanceof UDPPacket) { UDPPacket udpPacket = (UDPPacket) ipPacket; sourcePort = udpPacket.src_port; destinationPort = udpPacket.dst_port; } String protocol = ipPacket.protocolDescription; // 输出五元组信息 System.out.println("Source IP: " + sourceIP); System.out.println("Destination IP: " + destinationIP); System.out.println("Source Port: " + sourcePort); System.out.println("Destination Port: " + destinationPort); System.out.println("Protocol: " + protocol); System.out.println("--------------------------"); } } // 关闭PCAP文件 captor.close(); } } ``` 以上代码使用jpcap库读取并解析PCAP文件中的数据包。通过遍历数据包,我们使用IPPacket类获取源IP地址、目的IP地址和协议类型。之后,根据具体的协议类型,我们使用TCPPacket或UDPPacket类获取源端口号和目的端口号。 最后,输出五元组信息供进一步的分析和使用。这样,我们就可以使用Java解析PCAP文件中的五元组信息了。当然,解析PCAP文件还涉及到其他的一些操作,比如过滤、统计等,可以根据具体需求进行扩展和处理。 ### 回答3: Java解析pcap文件五元组信息的过程如下: pcap文件是一种网络数据包捕获文件格式,它记录了在计算机网络中传输的数据包的原始内容和元数据。五元组是识别网络数据流的关键信息,包括源IP地址、目标IP地址、源端口号、目标端口号和传输协议。 1. 打开pcap文件:使用Java的文件操作类库打开pcap文件,并读取其中的数据包内容和元数据。 2. 解析数据包:遍历pcap文件中的数据包,使用Java的网络协议解析库对每个数据包进行解析。这个过程中可以获取到数据包的源IP地址、目标IP地址、源端口号、目标端口号和传输协议。 3. 保存五元组信息:将每个数据包中解析得到的五元组信息存储在一个数据结构中,比如使用Java的列表或映射等。 4. 分析五元组信息:对保存的五元组信息进行分析,可以统计每个五元组出现的次数,找出频率最高的五元组,或者进行其他复杂的网络分析。 通过以上步骤,使用Java可以很方便地解析pcap文件中的五元组信息。这些信息对于网络安全研究、网络流量监控和网络性能优化等领域都非常重要。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 8
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值