pythonpcap原生python读取解析.pcap文件(非第三方库),太网分层

最新推荐文章于 2024-02-19 10:37:17 发布
置顶 VIP文章 最新推荐文章于 2024-02-19 10:37:17 发布
阅读量2.1w 收藏 130
点赞数 24
分类专栏: python 文章标签: pythonpcap python抓包分析 .pcap
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mak0000/article/details/82697436
版权

本文代码都由python编写,无需安装第三方拓展库,代码更新:https://github.com/mengdj/python

tcp/ip协议 4层架构

 

.pcap文件是一种简单网络包记录文件,较它的升级版.pcapng简单多了

pcap结构图

可以看到.pcap文件,就由一个pcap文件头+无数个(pcap包头+包数据组成),我们只需要一个个解析即可,文件头用于描述.pcap文件本身(就一个文件头),包头则描述包的信息(抓取时间、长度等等),包的数据就是我们要的4层数据了(链路+网络+传输+应用),值得注意的是.pcap文件抓取的包是链路层抓取的,所以此时的包还没有经过重组,网络包重组(ip重组、tcp重组),本文暂不说明,后期可关注github,会用python实现的

Pcap文件头24B各字段说明:
Magic:        4B:0×1A 2B 3C 4D:用来识别文件自己和字节顺序。0xa1b2c3d4用来表示按照原来的顺序读取,0xd4c3b2a1表示下面的字节都要交换顺序读取。一般,我们使用0xa1b2c3d4
Major:        2B,0×02 00:当前文件主要的版本号
Minor:        2B,0×04 00当前文件次要的版本号
ThisZone:    4B 时区。GMT和本地时间的相差,用秒来表示。如果本地的时区是GMT,那么这个值就设置为0.这个值一般也设置为0 SigFigs:4B时间戳的精度;全零
SnapLen:    4B最大的存储长度(该值设置所抓获的数据包的最大长度,如果所有数据包都要抓获,将该值设置为65535; 例如:想获取数据包的前64字节,可将该值设置为64)
LinkType:    4B链路类型
常用类型:
0           BSD loopback devices, except for later OpenBSD
1           Ethernet, and Linux loopback devices
6           802.5 Token Ring
7           ARCnet
8           SLIP
9           PPP
10          FDDI
100         LLC/SNAP-encapsulated ATM
101         “raw IP”, with no link
102         BSD/OS SLIP
103         BSD/OS PPP
104         Cisco HDLC
105         802.11
108         later OpenBSD loopback devices (with the AF_value in network byte order)
113         special Linux “cooked” capture
114         LocalTalk

 现在我们分别用python来解析(注意解析时,每一层代码都只拆分出上层数据,然后交给上层自己处理,)

.pcap文件头处理 ==> .pcap包处理 ==> 链路层==> 网络层==> 传输层==> 应用层

1.pcap.py 文件头处理

解析文件头以及众多包,拿到包数据但不细节,解析包的工作我们放到包处理来做,同时考虑到文件通常很大,我们用生成器来处理遍历操作

#!/usr/bin/env python3
# -*- coding: utf-8 -*-
__author__ = "[email protected]"
from pcap.proc.packet import Packet
from pcap.proc.util import BytesBuffer
from pcap.proc.util import BytesOrder


class PcapHead(object):
    """pcap文件头 24B"""
    _magic_number = None
    _version_major = None
    _version_minor = None
    _thiszone = None
    _sigfigs = None
    _snaplen = None
    _link_type = None

    def __init__(self, data):
        assert len(data) == 24
        self._magic_number = data[:4]
        if PcapHead.signature(self._magic_number) is False:
            raise Exception("不支持的文件格式")
        self._version_major = BytesOrder.bytes2int(data[4:6])
        self._version_minor = BytesOrder.bytes2int(data[6:8])
        self._thiszone = BytesOrder.bytes2int(data[8:12])
        self._sigfigs = BytesOrder.bytes2int(data[12:16])
        self._snaplen = BytesOrder.bytes2int(data[16:20])
        self._link_type = BytesOrder.bytes2int(data[20:24])

    def __str__(self):
        return "order:%s magor:%d minor:%d zone:%d sig:%d snap_len:%d type:%d" % (
            BytesOrder.order, self._version_major, self._version_minor, self._thiszone, self._sigfigs, self._snaplen,
            self._link_type)

    @staticmethod
    def signature(data):
        """验证签名同时确定排序,虽然还无法读取到大小端但不影响"""
        sig = BytesOrder.bytes2int(data)
        if sig == 0xa1b2c3d4:
            BytesOrder.order = "big"
            return True
        elif sig == 0xd4c3b2a1:
            BytesOrder.order = "little"
            return True
        return False


class Pcap(object):
    """.pcap解析类"""
    __head = None
    __ret = 0

    def parse(self, file, buffSize=2048):
        """
        解析pcap文件,返回值为一个生成器 yield
        :param file:缓冲文件大小
        :param buffSize:
        :return:返回一个生成器(用于处理大包)
        """
        assert file != ""
        _buff = BytesBuffer()
        _packet = None
        ret = 0
最低0.47元/天 解锁文章
小孟哥
关注
  • 24
    点赞
  • 130
    收藏
    觉得还不错? 一键收藏
  • 6
    评论
专栏目录
python分析pcap文件_Python-对Pcap文件进行处理,获
weixin_39802969的博客
11-30 1190
通过对TCP/IP协议的学习,本人写了一个可以实现对PCAP文件中的IPV4下的TCP流提取,以及提取指定的TCP流,鉴于为了学习,没有采用第三方解析pcap,而是对bytes流进行解析,其核心思想为:若想要提取TCP Content,需在下层的IPV4协议中判断Protocol是否为TCP,然后判断下层的以太网协议的Type是否为IPV4协议(此处的IPV4判断,只针对本人所写项目);对于指定...
python】dpkt模块快速解析pcap
qq_33515733的博客
03-22 1万+
python中dpkt模块快速解析pcap分步解析pcap读入pcap文件对应用负载数据做十六进制转换 分步解析pcap 读入pcap文件 import dpkt import collections #有序字典需要的模块 f = open(file_path) try: pcap = dpkt.pcap.Reader(f) #先按.pcap格式解析,若解析不了,则按pcapng...
使用PYTHON解析Wireshark的PCAP文件方法
09-19
今天小编就为大家分享一篇使用PYTHON解析Wireshark的PCAP文件方法,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
python 抓包保存为pcap文件解析的实例
09-19
今天小编就为大家分享一篇python 抓包保存为pcap文件解析的实例,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
解析 pcappcapng 时间戳打印(python)---亲测有效
最新发布
m0_63902994的博客
02-19 504
现在自动驾驶领域越来越多的采用someip协议进行信号的传递。wireshark抓包后,不利于数据进行数据的后处理,所以需要用python数据进行解析。从一个pcap网络数据捕获文件中提取时间戳,并将这些时间戳保存到一个Excel文件中。代码首先创建了一个新的Excel工作簿,然后遍历pcap文件中的每个数据。对于每个数据,它检查以太网帧的源和目的MAC地址,如果匹配指定的地址,它会继续解析IP层和TCP层(如果存在的话),然后提取时间戳并将其添加到Excel工作表中。
python读取pcap文件.pdf
09-30
python读取pcap文件.pdf
利用Python库Scapy解析pcap文件的方法
09-19
今天小编就为大家分享一篇利用Python库Scapy解析pcap文件的方法,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
python解析pcap,python-用scapy读取PCAP文件
weixin_30628943的博客
03-26 1064
我有大约10GB的pcap数据和IPv6流量,用于分析存储在IPv6头和其他扩展头中的信息.为此,我决定使用Scapy框架.我尝试了rdpcap函数,但是对于如此大的文件,不建议这样做.它试图将所有文件加载到内存中并卡在我的情况下.我在网上发现在这种情况下建议使用嗅探器,我的代码如下所示:def main():sniff(offline='traffic.pcap', prn=my_method,...
如何读取pcap
m0_57236802的博客
11-01 2050
读取PCAP(Packet Capture)文件可以使用多种工具和编程库。
Python解析PCAP文件
xiangxue888的博客
11-30 2499
Python解析PCAP文件
安全开发--8--Python实现流量数据pcap分析
武天旭的博客
08-26 4471
本篇我们会使用Python从HTTP流量中提取出图片文件,然后使用OpenCV对它们进行处理,尝试识别出带有人脸的图像,以此来锁定我们可能感兴趣的内容。至于流量数据,可以百度搜索帅哥美女图片,有人脸的图片就会一抓一大把,再使用wireshark之类的工具来抓取等等,方式很多,就不介绍了。对于这个需求,我们会分为两步来执行,第一步是从HTTP流量中提取图片,并将它们保存到磁盘上;第二步是分析每一张图片以判断里面是否会出现人脸,如果图片里面确实有人脸, 就用一个方框把其中的人脸圈出来,并单独保存(另存为)
pcap文件python解析实例
热门推荐
Netfilter
07-23 7万+
最近一直在分析数据。同时也一直想学python。凑一块儿了...于是,便开工了。座椅爆炸!正文首先要说的是,我知道python有很多解析pcap文件的库,这里不使用它们的原因是为了理解pcap文件的格式细节。使用tcpdump你可以很容易抓取到一系列的数据,然而tcpdump并没有分析数据的功能,如果想从这个抓包文件分析出一些端倪,比如重传情况,你必须使用wireshark之类的软件,用w
[Python] 解析Pcap三个Python库(Dpkt Scapy Pyshark)应用实例
coderge's CSDN Blog.
06-10 1万+
如果要处理pcap文件python有仨库比较有名(如果有传输层的话) 含以下信息。 Pyshark Or Wireshark 如果只是想要所有packet的[src_IP, dst_IP, src_MAC, dst_MAC, Protocol, TimeStamp, Info]等信息,可以直接打开Wireshark导出这个操作也可以用Pyshark库完成。 使用 PyShark 和 scapy 从 pcap 文件读取字段并填充 CSV pcap 中的每个数据都呈现到 csv 文件的一行中。要提取的特
python 解析pcap报文
06-06
本代码能对抓包工具抓下来的pcap各个字段进行精确的解析文件头,报文头,协议头,数据内容等的解析。。
python scapy读取pcap
阳光心态,健康人生的博客
05-25 8697
废话不说,直接上代码.相对来说还是比较简单的 import scapy_http.http try: import scapy.all as scapy except ImportError: import scapy def parse_http_pcap(pcap_path): pcap_infos = list() packets = scapy.r...
车载 SOME/IP测试 上手整理 - 一万三千字
weixin_39072720的博客
09-01 1155
SOME/IP(Scalable service-Oriented MiddlewarE over IP)是一种在IP网络上实现服务导向(SOA)的中间件协议。它最初是为了满足车载网络的特定需求而设计的,但也可用于其他嵌入式系统。SOME/IP用于定义如何在参与节点(如车载电子控制单元,ECUs)之间发现服务、建立通信并进行数据交换。
Python读取pcap文件
清风飘过
08-28 8684
http://blog.sina.com.cn/s/blog_4b5039210100gnlu.html    想试一试读取pcap文件的内容,并且分析pcap文件头,每一数据pcap头,每一数据内容(暂时不数据的协议解析),关于pcap文件的格式,可以参看:http://blog.sina.com.cn/s/blog_4b5039210100fzrt.html     搞了
python解析pcap报文_scapy解析pcap文件
caoyongsheng的博客
09-08 3492
介绍如何使用 Python scapy 从pcap数据中提取TLS/数据的基本信息,例如SNI等。scapy 能够从pcap中提取出数据对象,可以直接通过pkt.show()输出显示数据内容。pkts = rdpcap(infliestr) # 打开pcap文件,读取数据内容nums=29 # 该pcap中,下标为29的数据为tls client hello。
python处理pcap文件,统计所有IP对之间的通信的数据数量
weixin_35756624的博客
02-11 577
可以使用scapy库来处理pcap文件并统计所有IP对之间的通信的数据数量。首先,需要导入scapy库,并使用rdpcap方法读取pcap文件。然后,可以遍历每一个数据,获取源IP地址和目的IP地址,并将它们作为键值对存入字典中,同时统计每一对IP地址之间的通信数据数量。代码如下: from scapy.all import * def process_pcap(pcap_file): ...
python读取.lnk文件的目标
05-26
Python读取.lnk文件的目标可以使用pylnk库,该库可以解析Windows快捷方式文件(.lnk)并提取目标路径、命令行参数、工作目录等信息。 首先需要安装pylnk库,可以使用以下命令在命令行中安装: ``` pip install pylnk ``` 安装完成后,可以使用以下代码示例读取.lnk文件的目标: ```python from pylnk import ShellLink # 读取.lnk文件 link = ShellLink('path/to/shortcut.lnk') # 获取目标路径 target_path = link.target_path print(target_path) ``` 上述代码将读取指定.lnk文件的目标路径,并打印输出。你可以替换`'path/to/shortcut.lnk'`为你想要读取的.lnk文件的路径。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值