Python 运用Dpkt库解析数据包

已于 2023-06-28 12:58:02 修改
阅读量1w 收藏 25
点赞数 1
分类专栏: 《Python 编程技术实践》 文章标签: python Dpkt 数据包解析 黑客编程 网络安全 TCP/IP ICMP/HTTP
于 2022-10-06 18:46:54 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lyshark_csdn/article/details/127186261
版权

dpkt是一个用于解析和操作网络数据包的Python模块。它提供了对各种网络协议(如以太网、IP、TCP、UDP、ICMP等)的解析功能,并允许访问和操作数据包的各个字段和参数。可以用于解析从各种抓包工具捕获的数据包,并提取和分析包内的参数。

dpkt包的一些主要特点和用途:

  • 数据包解析:dpkt提供了解析网络数据包的功能,可以读取和解析从各种抓包工具(如Wireshark)导出的数据包文件(如pcap文件)。

  • 支持多种协议:dpkt支持解析和操作多种网络协议,包括以太网、IP、TCP、UDP、ICMP等。它可以识别和提取数据包中的各个协议头部,并提供了访问协议字段的方法。

  • 简单易用:dpkt的API设计简单易用,使得解析和操作数据包变得容易。您可以使用Python代码轻松地读取数据包文件,遍历数据包,并访问和处理数据包中的各个字段。

  • 数据包生成:除了解析数据包,dpkt还提供了创建和构造数据包的功能。您可以使用dpkt来生成特定协议的数据包,并设置各个字段的值。

  • 协议分析和网络流量分析:借助dpkt,您可以进行协议分析和网络流量分析。通过解析数据包并提取关键信息(如源IP地址、目标IP地址、端口号等),您可以进行网络流量统计、行为分析、异常检测等操作。

  • 兼容性:dpkt与Python的标准库兼容,并可以与其他Python库(如socket、struct等)结合使用。

总体而言,dpkt是一个功能强大且易于使用的Python模块,适用于网络数据包的解析、分析和操作。无论是进行网络安全研究、网络流量分析、网络协议分析还是开发网络应用程序,dpkt都可以为您提供便捷的工具和功能。

使用Dpkt分析数据包

代码使用了dpkt模块来读取和解析pcap文件(例如"D://aaa.pcap")中的数据包,并搜索其中的HTTP请求中是否包含指定的关键词(例如"wang.zip")。

#coding=utf-8
import dpkt
import socket

def FindPcapWord(pcap,WordKey):
    for ts,buf in pcap:
        try:
            eth = dpkt.ethernet.Ethernet(buf)
            ip = eth.data
            src = socket.inet_ntoa(ip.src)
            dst = socket.inet_ntoa(ip.dst)
            tcp = ip.data
            http = dpkt.http.Request(tcp.data)
            if(http.method == "GET"):
                uri = http.uri.lower()
                if WordKey in uri:
                    print("[+] 源地址: {} --> 目标地址: {} 检索到URL中存在 {}".format(src,dst,uri))
        except Exception:
            pass

fp = open("D://aaa.pcap","rb")
pcap = dpkt.pcap.Reader(fp)
FindPcapWord(pcap,"wang.zip")

也可以使用dpkt解析本机数据包中是否包含后门。

#coding=utf-8
import dpkt
import socket

def FindPcapWord(pcap,WordKey):
    for timestamp,packet in pcap:
        try:
            eth = dpkt.ethernet.Ethernet(packet)
            ip = eth.data
            src = socket.inet_ntoa(ip.src)
            dst = socket.inet_ntoa(ip.dst)
            tcp = ip.data
            http = dpkt.http.Request(tcp.data)
            if(http.method == "GET"):
                uri = http.uri.lower()
                if WordKey in uri:
                    print("[+] 源地址: {} --> 目标地址: {} 检索到URL中存在 {}".format(src,dst,uri))
        except Exception:
            pass

def Banner():
    print("  _          ____  _                _    ")
    print(" | |   _   _/ ___|| |__   __ _ _ __| | __")
    print(" | |  | | | \___ \| '_ \ / _` | '__| |/ /")
    print(" | |__| |_| |___) | | | | (_| | |  |   < ")
    print(" |_____\__, |____/|_| |_|\__,_|_|  |_|\_\\")
    print("       |___/                             \n")
    print("E-Mail: me@lyshark.com")

def FindHivemind(pcap):
    for timestamp,packet in pcap:
        try:
            eth = dpkt.ethernet.Ethernet(packet)
            ip = eth.data
            tcp = ip.data

            src = socket.inet_ntoa(ip.src)
            dst = socket.inet_ntoa(ip.dst)
            sport = tcp.sport
            dport = tcp.dport
            # print("[+] 源地址: {}:{} --> 目标地址:{}:{}".format(src,sport,dst,dport))
            if dport == 80 and dst == "125.39.247.226":
                # 如果数据流中存在cmd等明文命令则说明可能存在后门
                if '[cmd]# ' in tcp.data.lower():
                    print("[+] {}:{}".format(dst,dport))
        except Exception:
            pass

Banner()
fp = open("D://aaa.pcap","rb")
pcap = dpkt.pcap.Reader(fp)
FindHivemind(pcap)

实时检测DDoS攻击

主要通过设置检测不正常数据包数量的阈值来判断是否存在DDoS攻击。

#coding=utf-8
import dpkt
import socket

def FindPcapWord(pcap,WordKey):
    for timestamp,packet in pcap:
        try:
            eth = dpkt.ethernet.Ethernet(packet)
            ip = eth.data
            src = socket.inet_ntoa(ip.src)
            dst = socket.inet_ntoa(ip.dst)
            tcp = ip.data
            http = dpkt.http.Request(tcp.data)
            if(http.method == "GET"):
                uri = http.uri.lower()
                if WordKey in uri:
                    print("[+] 源地址: {} --> 目标地址: {} 检索到URL中存在 {}".format(src,dst,uri))
        except Exception:
            pass

def FindHivemind(pcap):
    for timestamp,packet in pcap:
        try:
            eth = dpkt.ethernet.Ethernet(packet)
            ip = eth.data
            tcp = ip.data
            src = socket.inet_ntoa(ip.src)
            dst = socket.inet_ntoa(ip.dst)
            sport = tcp.sport
            dport = tcp.dport
            # print("[+] 源地址: {}:{} --> 目标地址:{}:{}".format(src,sport,dst,dport))
            if dport == 80 and dst == "125.39.247.226":
                # 如果数据流中存在cmd等明文命令则说明可能存在后门
                if '[cmd]# ' in tcp.data.lower():
                    print("[+] {}:{}".format(dst,dport))
        except Exception:
            pass

def Banner():
    print("  _          ____  _                _    ")
    print(" | |   _   _/ ___|| |__   __ _ _ __| | __")
    print(" | |  | | | \___ \| '_ \ / _` | '__| |/ /")
    print(" | |__| |_| |___) | | | | (_| | |  |   < ")
    print(" |_____\__, |____/|_| |_|\__,_|_|  |_|\_\\")
    print("       |___/                             \n")
    print("E-Mail: me@lyshark.com")

def FindDDosAttack(pcap):
    pktCount = {}
    for timestamp,packet in pcap:
        try:
            eth = dpkt.ethernet.Ethernet(packet)
            ip = eth.data
            tcp = ip.data
            src = socket.inet_ntoa(ip.src)
            dst = socket.inet_ntoa(ip.dst)
            sport = tcp.sport
            # 累计判断各个src地址对目标地址80端口访问次数
            if dport == 80:
                stream = src + ":" + dst
                if pktCount.has_key(stream):
                    pktCount[stream] = pktCount[stream] + 1
                else:
                    pktCount[stream] = 1
        except Exception:
            pass
    for stream in pktCount:
        pktSent = pktCount[stream]
        # 如果超过设置的检测阈值500,则判断为DDOS攻击行为
        if pktSent > 500:
            src = stream.split(":")[0]
            dst = stream.split(":")[1]
            print("[+] 源地址: {} 攻击: {} 流量: {} pkts.".format(src,dst,str(pktSent)))

if __name__ == "__main__":
    Banner()
    fp = open("D://data.pcap","rb")
    pcap = dpkt.pcap.Reader(fp)
    FindPcapWord(pcap,"wang.zip")

DPKT动态抓包解析

首先使用scapy动态抓包,然后调用不同的函数对抓到的数据包进行处理提取出想要的数据.

import os,argparse,dpkt
from scapy.all import *
pkts=[]
count=0

# 检查数据包的IP层,提取出IP和TTL字段的值
def Get_TTL(pkt):
    try:
        if pkt.haslayer(IP):
            ip_src = pkt.getlayer(IP).src
            ip_sport = pkt.getlayer(IP).sport
            ip_dst = pkt.getlayer(IP).dst
            ip_dport = pkt.getlayer(IP).dport
            ip_ttl = str(pkt.ttl)
            print("[+] 源地址: %-15s:%-5s --> 目标地址: %-15s:%-5s --> TTL: %-5s"%(ip_src,ip_sport,ip_dst,ip_dport,ip_ttl))
    except Exception:
        pass

# 获取本机发送出去的DNS请求所对应的网站地址
def Get_DNSRR(pkt):
    if pkt.haslayer(DNSRR):
        rrname = pkt.getlayer(DNSRR).rrname
        rdata = pkt.getlayer(DNSRR).rdata
        ttl = pkt.getlayer(DNSRR).ttl
        print("[+] 域名: {} --> 别名: {} --> TTL: {}".format(rrname,rdata,ttl))

# 解析网页的DNS查询记录
def Get_DNSQR(pkt):
    # 判断是否含有DNSRR且存在UDP端口53
    if pkt.haslayer(DNSRR) and pkt.getlayer(UDP).sport == 53:
        rcode = pkt.getlayer(DNS).rcode
        qname = pkt.getlayer(DNSQR).qname
        # 若rcode为3,则表示该域名不存在
        if rcode == 3:
            print("[-] 域名解析不存在")
        else:
            print("[+] 解析DNSQR存在:" + str(qname))

# 检测主机是否被DDOS攻击了
def FindDDosAttack(pcap):
    pktCount = {}
    for timestamp,packet in pcap:
        try:
            eth = dpkt.ethernet.Ethernet(packet)
            ip = eth.data
            tcp = ip.data
            src = socket.inet_ntoa(ip.src)
            dst = socket.inet_ntoa(ip.dst)
            sport = tcp.sport
            # 累计判断各个src地址对目标地址80端口访问次数
            if dport == 80:
                stream = src + ":" + dst
                if pktCount.has_key(stream):
                    pktCount[stream] = pktCount[stream] + 1
                else:
                    pktCount[stream] = 1
        except Exception:
            pass
    for stream in pktCount:
        pktSent = pktCount[stream]
        # 如果超过设置的检测阈值500,则判断为DDOS攻击行为
        if pktSent > 500:
            src = stream.split(":")[0]
            dst = stream.split(":")[1]
            print("[+] 源地址: {} 攻击: {} 流量: {} pkts.".format(src,dst,str(pktSent)))

# FindPcapURL 监控提取数据包中的所有URL
def FindPcapURL(pcap):
    Url = []
    for timestamp,packet in pcap:
        try:
            eth = dpkt.ethernet.Ethernet(packet)
            ip = eth.data
            src = socket.inet_ntoa(ip.src)
            tcp = ip.data
            http = dpkt.http.Request(tcp.data)
            if(http.method == "GET"):
                UrlHead = http.headers
                for key,value in UrlHead.items():
                    url = re.findall('^https*://.*',str(value))
                    if url:
                        print("[+] 源地址: %10s --> 访问URL: %-80s"%(src, url[0]))
        except Exception:
            pass
    return set(Url)

# 动态保存pcap文件(每1024字节保存一次pcap文件),并读取出其中的网址解析出来
def write_cap(pkt):
    global pkts
    global count
    pkts.append(pkt)
    count += 1
    if count == 1024:
        wrpcap("data.pcap",pkts)
        fp = open("./data.pcap","rb")
        pcap = dpkt.pcap.Reader(fp)
        FindPcapURL(pcap)
        fp.close()
        pkts,count = [],0

def Banner():
    print("  _          ____  _                _    ")
    print(" | |   _   _/ ___|| |__   __ _ _ __| | __")
    print(" | |  | | | \___ \| '_ \ / _` | '__| |/ /")
    print(" | |__| |_| |___) | | | | (_| | |  |   < ")
    print(" |_____\__, |____/|_| |_|\__,_|_|  |_|\_\\")
    print("       |___/                             \n")
    print("E-Mail: me@lyshark.com")

if __name__ == "__main__":
    Banner()
    parser = argparse.ArgumentParser()
    parser.add_argument("--mode",dest="mode",help="模式选择<TTL/DNSRR/DNSQR/URL>")
    args = parser.parse_args()
    if args.mode == "TTL":
        print("[*] 开始抓取本机TTL流量")
        sniff(prn=Get_TTL,store=0)
    elif args.mode == "DNSRR":
        print("[*] 开始抓取本机发送出去的DNS查询请求所对应的网站URL")
        sniff(prn=Get_DNSRR,store=0)
    elif args.mode == "DNSQR":
        print("[*] 解析网页的DNS查询记录")
        sniff(prn=Get_DNSQR,store=0)
    elif args.mode == "URL":
        print("[+] 开始抓包,pcap文件并读取出其中的网址")
        sniff(prn=write_cap,store=0)
    else:
        parser.print_help()

Geoip2定位IP来源

首先提取出Pcpa格式的数据包文件,然后通过使用离线数据库查询出指定IP地址的地理位置.

# pip install geoip2
# github地址下载:https://github.com/maxmind/GeoIP2-python
# 离线数据库:https://www.maxmind.com/en/accounts/current/geoip/downloads
import argparse
import socket,dpkt
import geoip2.database

def AnalysisPace(DpktPack,Filter):
    respon = []
    with open(DpktPack,"rb") as fp:
        pcap = dpkt.pcap.Reader(fp)
        for timestamp, packet in pcap:
            try:
                eth = dpkt.ethernet.Ethernet(packet)
                # 解析过滤出网络层(三层)中的IP数据包
                if eth.data.__class__.__name__ == "IP":
                    ip = eth.data
                    src = socket.inet_ntoa(ip.src)
                    dst = socket.inet_ntoa(ip.dst)
                    # 解析过滤出传输层(四层)中的TCP数据包
                    if eth.data.data.__class__.__name__ == "TCP":
                        sport = eth.data.data.sport
                        dport = eth.data.data.dport
                        # 过滤出源地址是192.168.1.2且目的端口是80或者443的流量
                        # if src == "192.168.1.2" and dport == 80 or dport == 443:
                        if eval(Filter):
                            dic = { "src":"None","sport":0 , "dst":"None","dport":0 }
                            #print("[+] 时间戳: %-17s 源地址: %-14s:%-2s ---> 目标地址: %-16s:%-2s" %(timestamp,src, sport, dst, dport))
                            RecvData = eth.data.data.data
                            if len(RecvData) and b"GET" in RecvData:
                                #print("[*] 时间戳: {} 源地址: {} <--- 访问网页: {}".format(timestamp,src,bytes.decode(RecvData).split("\n")[1]))
                                pass
                            dic['src'] = src
                            dic['dst'] = dst
                            dic['sport'] = sport
                            dic['dport'] = dport
                            respon.append(dic)
            except Exception:
                pass
    return respon

def AnalysisIP_To_Address(PcapFile,MmdbFile):
    IPDict = AnalysisPace(PcapFile,"dport ==80 or dport == 443")
    NoRepeat = []

    for item in range(len(IPDict)):
        NoRepeat.append(IPDict[item].get("dst"))
    NoRepeat = set(NoRepeat)

    reader = geoip2.database.Reader(MmdbFile)
    for item in NoRepeat:
        try:
            response = reader.city(item)
            print("[+] IP地址: %-16s --> " %item,end="")
            print("网段: %-16s --> " %response.traits.network,end="")
            print("经度: %-10s 纬度: %-10s --> " %(response.location.latitude, response.location.longitude),end="")
            print("定位: {} {} {}".format(response.country.names["zh-CN"],response.subdivisions.most_specific.name,response.city.name),end="\n")
        except Exception:
            print("定位: None None None")
            pass

def Banner():
    print("  _          ____  _                _    ")
    print(" | |   _   _/ ___|| |__   __ _ _ __| | __")
    print(" | |  | | | \___ \| '_ \ / _` | '__| |/ /")
    print(" | |__| |_| |___) | | | | (_| | |  |   < ")
    print(" |_____\__, |____/|_| |_|\__,_|_|  |_|\_\\")
    print("       |___/                             \n")
    print("E-Mail: me@lyshark.com\n")

if __name__ == '__main__':
    Banner()
    parser = argparse.ArgumentParser()
    parser.add_argument("-p", "--pcap", dest="pcap", help="设置抓到的数据包 *.pcap")
    parser.add_argument("-d", "--mmdb", dest="mmdb", help="设置城市数据库 GeoLite2-City.mmdb")
    
    args = parser.parse_args()
    # 使用方式: main.py -p data.pcap -d GeoLite2-City.mmdb (分析数据包中IP)
    if args.pcap and args.mmdb:
        AnalysisIP_To_Address(args.pcap,args.mmdb)
    else:
        parser.print_help()
微软技术分享
关注
  • 1
    点赞
  • 25
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
dpkt多次循环读取PCAP文件中的完整数据方法
wsq119的博客
01-24 88
dpkt多次循环读取PCAP文件中的完整数据方法
python dpkt 包分析
12-04
python dpkt-linux下的源码包 rtp包解析,可以使用这个从tcpdump的抓包文件中的rtp包导出为H.264
Python dpkt抓包 IP片段组包
ailihui366的博客
03-05 825
使用pcap或者winpcapy抓包后,对包做处理,使用dpkt工具,数据处理速度较快,但是dpkt大多数都是数据片段,一次交互请求,通常被分为很多片段,通过报文头部的 DO_NOT_FRAGMENT(是否分包) MORE_FRAGMENT(有更多片段)俩个字段,也就是(DF,MF)来确定是否有分包,是否是最后一个。 因为理论不足,以及没找到现成的代码,所以写了个组包代码 ip = eth.data # 取出分片信息 df = bool(ip.off & dpkt.ip.IP
dpkt: Python包用于网络数据包分析
最新发布
gitblog_00020的博客
03-18 323
dpkt: Python包用于网络数据包分析 dpkt是一个开源的Python,旨在为用户提供一种简单的方法来进行网络数据包分析。它提供了一套API接口,允许用户轻松地捕获、解析和构建各种类型的网络数据包。 用途 dpkt可以用来做很多事情,以下是其中的一些例子: 分析网络流量以检测潜在的安全威胁 对网络通信进行调试或监控 构建协议分析工具或网络安全审计工具 学习计算机网络或网络安全相关知识 ...
解析pcap数据包,添加dpkt依赖后运行py文件即可
12-15
下载了别人的,改了改,能解析出来了,解析pcap数据包,提取出其中内容,http协议,https,icmp.dns
使用Python实现windows下的抓包与解析
12-31
系统环境:windows7,选择windows系统是因为我对自己平时日常机器上的流量比较感兴趣 python环境:python2.7 ,这里不选择python3的原因,是因为接下来要用到的scapy包在python3中安装较于python2要麻烦得多。如果你习惯于用python3,数据包的分析完全可以放在3下面做,因为抓包和分析是两个完全独立的过程。 需要的python包:scapy和dpkt 抓包代码: from scapy.sendrecv import sniff from scapy.utils import wrpcap dpkt = sniff(count = 100) #这里
dpkt_python3_dpkt_
10-02
继承dpkt 的简单的依赖包
dpkt 解析 pcap 文件
ITxiaozhang7的博客
11-12 3980
dpktTutorial#2:ParsingaPCAPFile 正如我们在dpkt第一部分教程所示,dpkt构建数据包很简单。 Dpkt解析数据包和文件时是等同效率的,所以在第二部分的教程中我们将会证明解析 PCAP文件和被它所包含的包。 Dpkt在创建和解析数据包上是一个非常棒的框架。然而dpkt并没有很多文档,一旦你熟悉使用这个模块,其余方面就相当容易了。我将会用一些简单的小任务作为dpkt教程,希望能提供一些文档的例子。 如果你有任何项目想要用dpkt完成,就写信给我。 在...
21.3 Python 使用DPKT分析数据包
CSDN
10-20 8071
dpkt项目是一个`Python`模块,主要用于对网络数据包进行解析和操作。它可以处理多种协议,例如`TCP`、`UDP`、`IP`等,并提供了一些常用的网络操作功能,例如计算校验和、解析`DNS`数据包等。由于其简单易用的特性,`dpkt`被广泛应用于网络安全领域,例如流量分析、漏洞利用、入侵检测等。使用该可以快速解析通过各类抓包工具抓到的数据包,从而提取分析包内的参数。在分析数据包之前我们需要抓取特定数据包并保存为`*.pcap`格式,通常情况下这种数据包格式可通过`WireShark`等工具抓取到,
Python使用scapy和dpkt抓包并解析
培根芝士的专栏
10-24 7314
scapy是python中一个可用于网络嗅探的非常强大的第三方,可以用它来做 packet 嗅探和伪造 packet。dpkt读取每个pcap包里的内容,用isinstance判断是不是有IP的包,再判断是属于哪个协议,对应的协议已经封装好API如果发现可以匹配某个协议API就输出来相关值。dpkt是一个python模块,可以对简单的数据包创建/解析,以及基本TCP / IP协议的解析,速度很快。ls(IP) 命令列出ip协议头部字段格式,只要想查看哪个协议的参数,括号里就填哪个协议。
dpkt属性的简单说明
qq_18873031的博客
04-26 559
dpkt.ip.IP len:总长度(首部+数据) ttl:生存时间 hl:首部长度(计算时需×4)
python抓包第三方
03-10
python抓包第三方
dpkt python3安装包
02-08
原来的只支持python2,搞了个python3版本,在windows7和python3.5下编译
Python | dpkt-1.8.5-py2.py3-none-any.whl
05-05
资源分类:Python 所属语言:Python 资源全名:dpkt-1.8.5-py2.py3-none-any.whl 资源来源:官方 安装方法:https://lanzao.blog.csdn.net/article/details/101784059
python抓取数据包提取五元组
07-26
抓取数据包并提取五元组是一项常见的网络数据分析任务,用于分析和理解网络通信。下面是对该过程的描述: 抓取数据包:使用Python中的网络抓包(如Scapy、pcapy、dpkt等),可以监听网络接口或读取存储在文件中的网络数据包。这些提供了函数和方法来捕获和读取数据包解析数据包:对于每个捕获到的数据包,需要对其进行解析以获取有用的信息。解析可以涉及解码网络协议头部(如IP头部、TCP/UDP头部)以及提取负载数据。 提取五元组:五元组是指网络通信中标识唯一连接的五个关键属性,包括源IP地址、目标IP地址、源端口号、目标端口号和传输协议(如TCP或UDP)。通过解析数据包的网络协议头部,可以提取这些五元组信息。 存储或处理五元组:提取的五元组信息可以根据需要进行存储、分析或进一步处理。可以将其保存到数据中,用于网络流量分析、安全监测或性能优化等。 可选操作:除了提取五元组之外,还可以对数据包进行其他操作,如计算吞吐量、延迟或分析应用层协议等。这些操作可以根据需求和具体场景进行。 请注意,实际的实现方式可能会因所选择的和工具而有所不同。在编写代码时,需要熟悉所选
dpkt:快速,简单的数据包创建解析,带有基本TCPIP协议的定义
02-07
DPKT代码现在支持Python2和Python3感谢@kylekeppler @jonathanslenders @ sunhao2014和许多的努力。 鉴于对Python3支持的大量工作,肯定会出现一些皱纹。 如果发现问题,请提交问题 旧版/稳定版是dpkt == ...
python dpkt_pythondpkt
weixin_39801879的博客
12-22 1517
dpkt定义了Packet类,这是所有其他dpkt定义的网络报文类型的基础类。Packet类继承自Object。1、ip,icmp等等子类都继承自dpkt class,每个子类都会定义一个__hdr__结构,该结构代表报文的头结构,是一个元组,其中包含若干个元组。每个子元组的结构是:(name, structfmt, default) ----(名称,结构格式,默认值)类中有一个pack_hdr(...
[Python] 解析Pcap三个PythonDpkt Scapy Pyshark)应用实例
热门推荐
coderge's CSDN Blog.
06-10 1万+
如果要处理pcap文件,python有仨比较有名(如果有传输层的话) 包含以下信息。 Pyshark Or Wireshark 如果只是想要所有packet的[src_IP, dst_IP, src_MAC, dst_MAC, Protocol, TimeStamp, Info]等信息,可以直接打开Wireshark导出这个操作也可以用Pyshark完成。 使用 PyShark 和 scapy 从 pcap 文件中读取字段并填充 CSV pcap 中的每个数据包都呈现到 csv 文件的一行中。要提取的特
python 应用-pcapng包解析dpkt模块)
m0_63902994的博客
02-19 434
dpkt 是一个解析快速简单的TCP/IP协议网络包的python 模块。
python写一个从数据包导出http数据的py
03-04
好的,以下是一个用Python编写的从数据包导出HTTP数据的示例代码: ```python import dpkt import socket import argparse def extract_http(pcap_file): # 打开pcap文件并解析数据包 with open(pcap_file, 'rb') as f: pcap = dpkt.pcap.Reader(f) for ts, buf in pcap: # 解析以太网帧 eth = dpkt.ethernet.Ethernet(buf) if eth.type != dpkt.ethernet.ETH_TYPE_IP: continue # 解析IP数据包 ip = eth.data if ip.p != dpkt.ip.IP_PROTO_TCP: continue # 解析TCP数据包 tcp = ip.data if tcp.dport != 80 and tcp.sport != 80: continue # 解析HTTP数据包 try: http = dpkt.http.Request(tcp.data) except (dpkt.dpkt.NeedData, dpkt.dpkt.UnpackError): continue # 提取HTTP数据 print("HTTP Request from %s:%d to %s:%d" % (socket.inet_ntoa(ip.src), tcp.sport, socket.inet_ntoa(ip.dst), tcp.dport)) print(http) print('\n') if __name__ == '__main__': parser = argparse.ArgumentParser(description='Extract HTTP traffic from a pcap file') parser.add_argument('pcap_file', type=str, help='path to the pcap file') args = parser.parse_args() extract_http(args.pcap_file) ``` 这段代码使用dpkt解析pcap文件中的数据包,然后提取HTTP数据包并打印出来。需要注意的是,这段代码只能提取TCP端口为80的HTTP数据包,如果需要提取其他端口的HTTP数据包,需要相应地修改代码。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值