pcap数据包解析及数据特征提取

最新推荐文章于 2024-08-15 09:20:14 发布
最新推荐文章于 2024-08-15 09:20:14 发布
阅读量1.6w 收藏 56
点赞数 9
分类专栏: Computer Network
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_31813549/article/details/78355680
版权

pcap数据包解析及数据特征提取

pcap数据包解析及数据特征提取代码

#include<stdio.h>
#include<string.h>
#include<stdlib.h>
#include<math.h>
#include<time.h>
#pragma pack(1)
#define BUFSIZE 1526
#define STRSIZE 1024

typedef int bpf_int32;
typedef unsigned int bpf_u_int32;
typedef unsigned short  u_short;
typedef unsigned int u_int32;
typedef unsigned short u_int16;
typedef unsigned char u_int8;
//pacp文件头结构体
struct pcap_file_header
{
    bpf_u_int32 magic;
    u_short version_major;
    u_short version_minor;
    bpf_int32 thiszone;
    bpf_u_int32 sigfigs;
    bpf_u_int32 snaplen;
    bpf_u_int32 linktype;
};

//时间戳
struct time_val
{
    bpf_u_int32 tv_sec;
    bpf_u_int32 tv_usec;
};

//pcap数据包头结构体
struct pcap_pkthdr
{
    struct time_val ts;
    bpf_u_int32 caplen;
    bpf_u_int32 len;
};


 //数据帧头
 typedef struct FramHeader_t
 {
     u_int8 DstMAC[6];
     u_int8 SrcMAC[6];
     u_short FrameType;
 } FramHeader_t;

 //IP数据报头
 typedef struct IPHeader_t
 {
     u_int8 Ver_HLen;
     u_int8 TOS;
     u_int16 TotalLen;
     u_int16 ID;
     u_int16 Flag_Segment;
     u_int8 TTL;
     u_int8 Protocol;
     u_int16 Checksum;
     u_int32 SrcIP;
     u_int32 DstIP;
 } IPHeader_t;

//TCP数据报头
 typedef struct TCPHeader_t
 {
     u_int16 SrcPort;
     u_int16 DstPort;
     u_int32 SeqNO;
     u_int32 AckNO;
     u_int8 HeaderLen;
     u_int8 Flags;
     u_int16 Window;
     u_int16 Checksum;
     u_int16 UrgentPointer;
 }TCPHeader_t;

  double log2(double x)
 {
     double z;
     z=log(x)/log(2);
     return z;
 };
 double encropy(int *x,int n,int m)
 {
     double e=0;
     for(int i=0;i<n;i++)
     {
         if(*(x+i)==0)
             continue;
         double f=(double)(*(x+i));
         e=e+(f/m)*log2(m/f);
     }
     return e;
 };


 int main()
 {
    //全局变量定义及初始化
    struct pcap_file_header *file_header;
    struct pcap_pkthdr *ptk_header;
    IPHeader_t *ip_header;
    TCPHeader_t *tcp_header;
    FILE *fp, *fpd,*output;
    char buf[BUFSIZE], my_time[STRSIZE];
     file_header = (struct pcap_file_header *)malloc(sizeof(struct       pcap_file_header));
     ptk_header  = (struct pcap_pkthdr *)malloc(sizeof(struct pcap_pkthdr));
     ip_header = (IPHeader_t *)malloc(sizeof(IPHeader_t));
     tcp_header = (TCPHeader_t *)malloc(sizeof(TCPHeader_t));
     memset(buf, 0, sizeof(buf));
    //全局输出文件定义及初始化
     if((output = fopen("output.txt","w+")) == NULL)
     {
         printf("error: can not open output file\n");
         exit(0);
     }

    for(int n=0;n<60;n++)
    {
        double feature1=0,feature2=0,feature3=0,feature4=0;
        int pkt_offset, pkt_offset_1,i=0,j=0;
        int len_sum1=0,len_sum2=0;
        long time1=0,time2=0;
        int ptk_len=0,num[BUFSIZE]={0};
        int seg1=0,seg2=0,seg_num=0;
        char file1[32],file2[32];
        //打开数据包
        sprintf(file1,"douyu_up/douyu_up_%d.pcap",n);
        sprintf(file2,"douyu_down/douyu_down_%d.pcap",n);
        if((fp = fopen(file1,"r")) == NULL)
         {
             printf("error: can not open pcap file\n");
             exit(0);
         }
        if((fpd = fopen(file2,"r")) == NULL)
         {
             printf("error: can not open pcap file\n");
             exit(0);
         }

        //数据1解析
         pkt_offset = 24;
         while(fseek(fp, pkt_offset, SEEK_SET) == 0)
         {
             i++;
            //数据读取
             if(fread(ptk_header, 16, 1, fp) != 1)
             {
                 printf("\nread end of pcap file\n");
                 break;
             }
             fseek(fp, 14, SEEK_CUR);
             if(fread(ip_header, sizeof(IPHeader_t), 1, fp) != 1)
             {
                 printf("%d: can not read ip_header\n", i);
             }
            if(fread(tcp_header, sizeof(TCPHeader_t), 1, fp) != 1)
             {
                 printf("%d: can not read tcp_header\n", i);
             }
            //结果运算
            pkt_offset=pkt_offset+ptk_header->len+16;
            len_sum1=len_sum1+ptk_header->len+16;
         }

        //数据2解析
         pkt_offset_1 = 24;
         while(fseek(fpd, pkt_offset_1, SEEK_SET) == 0)
         {
             j++;
            //数据读取
             if(fread(ptk_header, 16, 1, fpd) != 1)
             {
                 printf("\nread end of pcap file\n");
                 break;
             }
             fseek(fpd, 14, SEEK_CUR);
             if(fread(ip_header, sizeof(IPHeader_t), 1, fpd) != 1)
             {
                 printf("%d: can not read ip_header\n", j);
             }
            if(fread(tcp_header, sizeof(TCPHeader_t), 1, fpd) != 1)
             {
                 printf("%d: can not read tcp_header\n", j);
             }
            //结果运算
            pkt_offset_1=pkt_offset_1+ptk_header->len+16;

            len_sum2=len_sum2+ptk_header->len+16;

             time1= (long)(ptk_header->ts.tv_sec)*1000000+(long)(ptk_header->ts.tv_usec);
             if(j==1)
             {
                 time2=time1;
             }

             ptk_len=ptk_header->len;
             num[ptk_len]++;

            seg2=ip_header->SrcIP;
            if(seg_num==0)
            {
                seg1=ip_header->SrcIP;
                seg_num++;
            }
            if(seg1!=seg2)
            {
                seg_num++;
                seg1=seg2;
            }
         }

         //综合
         feature1= (double)len_sum2/(double)len_sum1;
         feature2=(double)(time1-time2)/j;
         feature3=encropy(num,BUFSIZE,j);
         feature4=log((double)seg_num);
         fprintf(output,"上行流量与下行流量的比值:%f\n平均到达时间:%f\n熵:%f\n下行字段数:%f\n上行包数: %d\n下行包数:%d\n",feature1,feature2,feature3,feature4,i,j);

        fclose(fpd);
        fclose(fp);
    }
    fclose(output);
    return 0;
 }

如有问题,欢迎提问.

VABIS_VHAS
关注
专栏目录
PCAPFlowParser:用于从PCAP文件生成流特征解析
05-17
PCAPFlowParser 用于从PCAP文件生成流特征解析器 基于ISCXFlowMeter项目。 特征 无双向 超时输入(以秒为单位) 来自捕获的报头的在线数据包的长度,以获取数据包的实际大小(解决了由于已从捕获的数据包中删除了有效负载而从匿名数据获取有效负载大小的问题) PCAP文件应按字母顺序排列。 根据文件数在左边添加前导零,例如,用pcap001代替pcap1 安装与执行 先决条件 数据包捕获(PCAP)库: 对于Linux,请安装libpcap $ sudo apt-get install libpcap-dev 对于Windows,请安装 安装 让我们假设: 项目PCAPFlowParser已从$PROJECT_PATH下载。 变量$LINUX_WIN表示操作系统的名称,即linux或win 。 因此,在下文中,变量$JNETPCAP_HOME是指
tshark命令提取重要特征pcap文件格式转存为CSV格式
学习使我快乐
08-25 5652
此操作适用于windows操作系统 从网上下载的数据集太大,解压后的pcap文件使用wireshark打开失败,需要将pcap文件分割,这里需要使用editcap.exe(在wireshark的安装目录下) editcap分割命令例如: editcap.exe -c 100000 D:\123.pacp D:\out_123.pacp 100000表示分割后的每个pcap文件有100000条数据(数字可调) tshark命令提取重要特征pcap文件格式转存为CSV格式: 1.使用cmd打开命令提示符 2
Python解析PCAP文件(从原始数据出发)
最新发布
2301_76214708的博客
08-15 696
使用python解析pcap文件原始数据
pcap文件提取IPv6的flow数据
临安雨潇
08-19 1923
#参考链接http://www.th7.cn/Program/Python/201403/180630.shtml # _*_ coding:UTF-8 _*_ import win32api import win32con import win32gui import time import webbrowser from ctypes import * import time VK_CODE =
CICFlowMeter提取PCAP特征工具使用
1
03-28 2967
** CICFlowMeter提取PCAP特征工具的使用 ** 本文记录一下使用IntelliJ IDEA导入并运用下载好的CICFlowMeter-master项目提取PCAP特征的过程。 了解到CICFlowMeter这一工具是因为入侵检测经典数据集CICIDS2017的csv数据集就是通过这一工具提取而成,所以想通过这个工具提取现有的其他数据集来进行一些分析工作。 工具准备 环境: Windows 10 Java 1.8 CICFlowMeter项目地址. IntelliJ IDEA 2020.2
使用CICFlowMeter 实现对pcap文件的特征提取【教程】
a_student_2020的博客
02-06 2455
使用CICFlowMeter 实现对pcap文件的特征提取【教程】
解析pcap文件,提取具有指定协议的特征字符串的数据包
weixin_30621919的博客
05-22 1262
一个关于抓包后文件解析的问题,首先,需要了解pcap文件的结构,通过了解,我定义了一个叫做SomeTypes.h的头文件 typedef unsigned int DWORD; typedef unsigned short WORD; typedef struct timeval{DWORD GMTtime;DWORD microTime;}timeval; typedef...
Cicflowmeter 特征提取工具(直接解压下来,放到D盘,就可以将pcap文件)
01-23
1.pcap文件转化成csv文件 2.首先下载一下winpcap软件,安装任意位置运行一下 3.直接解压下来,放到D盘,进入bin文件,双击CICFlowMeter.bat就可以了
解析pcap数据包
12-04
解析pcap数据包提取出其中内容,http协议,https,icmp.dns
pcap数据包 DNS解析
03-05
本文将深入探讨如何使用C语言解析`pcap`文件中的DNS(Domain Name System)数据包,并对数据流进行处理。 首先,理解`pcap`文件的结构至关重要。`pcap`文件包含了一系列网络数据包的原始数据,每个数据包都包括头部...
python分析数据包_Python解析pcap数据包
weixin_39705435的博客
11-27 1582
Post Views:29,789零、前言历时数月,终于结束了考研初试,Blog也很长时间没有更新了,期间还是有些小伙伴来Blog看文章很是感动。以后一定会坚持更新,尽量给大家推送一些干货。这次发的是Python解析pcap数据包的脚本,其实用wireshark就能解决大部分的数据包分析问题了,但有时候会遇到分析大量数据包或从大量数据包提取某个信息的需求,这时用wireshark一个一个的打开就...
PCAP文件的解析软件
07-12
具备WIRESHARK的大部分功能,主要是指针的偏移来完成的。对初学者有一定的帮助。
解析pcap数据包,添加dpkt依赖后运行py文件即可
12-15
下载了别人的,改了改,能解析出来了,解析pcap数据包提取出其中内容,http协议,https,icmp.dns
pcap数据包怎么解析出点云数据
07-12
综上所述,要解析pcap数据包中的点云数据,需要使用pcap库读取数据包,并结合以太网协议、UDP或TCP协议等进行解析,最后使用点云处理库进行提取和处理。 ### 回答2: pcap数据包是一种网络数据包捕获文件格式,常...
网络分析笔记01:pcapng格式的整体解包
snmplink的博客
08-19 7326
本文首先介绍对pcapng格式进行介绍,然后讲解pcapng的整体结构,并使用Python语言进行块(block)的解包。在此需要说明的是,本文是为了能够深入对pcapng格式进行分析,所以不使用python的scapy库,网络上的数据是以流的方式进行数据传输的,我们从网络上抓包后,需要进行数据分析,所以需要对数据进行存储,pcapng就是用于存储的格式。pcnpng来源于IETF(互联网工程工作组),是pcap的新一代格式,相比较于原有的pcap格式,更具有逻辑性和可扩展性。
流量预处理-1:特征提取
qq_45125356的博客
03-09 2930
看着博客[flowcontainer]()的感觉很好,但是有如下缺陷:处理大文件费内存,关于数据集ISCX2016中的FT类型一个pcap动则就是5个多G,吃不消设置extension字段提取tcp与udp有效负载时,对于上述的大文件处理特别慢!!!原因是加载所有数据进入内存,但是实际预处理只需要前几个包的有效载荷数据,造成内存大开销!红色圈圈是加上的代码,加上后就不会出现致命异常但是依旧是慢!在处理大文件的pcap特别费劲!等个几个小时才读取完!
网络安全系列-二十五: PCAP文件格式详解及读取PCAP文件源码示例
penriver的博客
05-14 6121
在Linux里,pcap是一种通用的数据流格式,是用于保存捕获的网络数据的一种非常基本的格式。 很多开源的项目都使用这种数据格式,如wireshark、tcpdump、scapy、snort 本文针对pcap的文件格式进行详解,并提供读取pcap文件的源代码示例
基于Python3+Scapy的数据包流量特征批量分析工具
sunbcy的博客
07-17 1650
基于Python3+Scapy的网络数据包批量分析工具
PCAP数据包分析
dingdong2098的专栏
08-08 2135
wireshark抓包分析工具 tshark命令把数据包数据提取到txt awk把数据转换成坐标,保存到新txt 把坐标连起来绘制出鼠标移动的图即CTF 查看某个IP地址的http协议数据包,右键跟踪数据流,可以看到设备是IPhone8 ...
评论 11
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值