【python】dpkt模块快速解析pcap

最新推荐文章于 2022-12-01 22:33:13 发布
最新推荐文章于 2022-12-01 22:33:13 发布 13805 收藏 50
分类专栏: 随记 文章标签: python dpkt 解析pcap
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33515733/article/details/88743856
版权

【python】dpkt模块快速解析pcap

分步解析pcap包

读入pcap文件

# -*- coding: UTF-8 -*-
import dpkt
import collections  #有序字典需要的模块
import time

def main(file_path):
	f = open(file_path) #此写法为python2之下,
	# f = open(file_path,mode='rb') #python3
	try:
	   pcap = dpkt.pcap.Reader(f) #先按.pcap格式解析,若解析不了,则按pcapng格式解析
	except:
	   # print "it is not pcap ... format, pcapng format..."
	   pcap = dpkt.pcapng.Reader(f) #解析pcapng会失败,建议使用scapy库的rdpcap去解析
	   #接下来就可以对pcap做进一步解析了,记住在使用结束后最好使用f.close()关掉打开的文件,虽然程序运行结束后,
	   #系统会自己关掉,但是养成好习惯是必不可少的。当前变量pcap中是按照“间戳:单包”的格式存储着各个单包

解包

####接着上面代码########
	#将时间戳和包数据分开,一层一层解析,其中ts是时间戳,buf存放对应的包
	all_pcap_data=collections.OrderedDict() #有序字典
	all_pcap_data_hex=collections.OrderedDict() #有序字典,存十六进制形式
	for (ts,buf) in pcap:
		try:
			eth = dpkt.ethernet.Ethernet(buf) #解包,物理层
			if not isinstance(eth.data, dpkt.ip.IP): #解包,网络层,判断网络层是否存在,
				continue
			ip = eth.data
			if not isinstance(ip.data, dpkt.tcp.TCP): #解包,判断传输层协议是否是TCP,即当你只需要TCP时,可用来过滤
				continue
			# if not isinstance(ip.data, dpkt.udp.UDP):#解包,判断传输层协议是否是UDP
			# 	continue         
			transf_data = ip.data #传输层负载数据,基本上分析流量的人都是分析这部分数据,即应用层负载流量
			if not len(transf_data.data): #如果应用层负载长度为0,即该包为单纯的tcp包,没有负载,则丢弃
				continue
			all_pcap_data[ts]=transf_data.data #将时间戳与应用层负载按字典形式有序放入字典中,方便后续分析.
			all_pcap_data_hex[ts]=transf_data.data.encode('hex')
		except Exception,err:
			print "[error] %s" % err
	f.close()
	#验证结果,打印保存的数据包的抓包以及对应的包的应用层负载长度
	test_ts=0
	for ts,app_data in all_pcap_data.iteritems():
		print  time.strftime("%Y-%m-%d %H:%M:%S",time.localtime(ts)) ,":",len(app_data) #将时间戳转换成日期
		test_ts=ts
	#打印最后一个包的十六进制形式,因为加密数据在命令行打印会出现大量乱码和错行,故在此不做演示打印包的字符形式
	print "\n最后一个包负载的十六进制******\n%s"%all_pcap_data_hex[test_ts],"\n"

运行测试


if __name__ == '__main__':
	file_path="./test.pcap"
	main(file_path)

结果如下图
在这里插入图片描述
在这里插入图片描述
dpkt官方文档

完毕

MK_夕阳
关注
  • 11
    点赞
  • 50
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 26
    评论
专栏目录
Python dpkt模块解析pcap报文
村中少年的专栏
09-07 1万+
介绍一下如何使用pythondpkt模块对于pcap报文进行解析,报文解码,报文解析工具
Python中用于包分析的模块--dpkt模块
04-12
这个东西可能很少有人用到,但毋庸置疑,它是个不好找的东西,好不容易下到,跟大家分享下,如果有需要dpkt库的,可以直接跟我联系。
python dpkt_用dpktpython进行pcap解析
weixin_36459547的博客
02-09 1075
我对python比较陌生,有一个小项目需要解析pcap并提取某些数据。我现在卡住了!我需要帮助的是如何解析包流的实际数据内容。在我想做的是能够,例如,使用正则表达式,如果regexp匹配packet print的内容。在像这样的东西!/usr/bin/env pythonimport socketimport dpktimport timeimport ref = open('pcap.pcap'...
pcapng文件的python解析实例以及抓包补遗
热门推荐
Netfilter
07-23 2万+
正文为了弥补pcap文件的缺陷,让抓包文件可以容纳更多的信息,pcapng格式应运而生。关于它的介绍详见《PCAP Next Generation Dump File Format》        当前的wireshark/tshark抓取的包默认都被保存为pcapng格式。        形而上的论述就不多谈了,直接给出一个pcapng数据包文件的例子:然后我强烈建议,对着《PCAP Next
Python 运用Dpkt解析数据包
LyShark
10-06 1584
dpkt项目是一个python模块,用于快速、简单的数据包解析,并定义了基本TCP/IP协议,使用该库可以快速解析通过各类抓包工具抓到的数据包,从而提取分析包内的参数。首先提取出Pcpa格式的数据包文件,然后通过使用离线数据库查询出指定IP地址的地理位置.首先使用scapy动态抓包,然后调用不同的函数对抓到的数据包进行处理提取出想要的数据.主要通过设置检测不正常数据包数量的阈值来判断是否存在DDoS攻击。使用Dpkt发现URL中存在的.zip字样链接。也可以使用dpkt解析本机数据包中是否包含后门。
python之用scapy分层解析pcap报文(Ethernet帧、IP数据包、TCP数据包、UDP数据包、Raw数据包)
GFS_lele的博客
03-27 1万+
一、工具准备   下载安装scapy库(https://blog.csdn.net/qq_23977687/article/details/88046257) 二、scapy用法   1.1、得到数据   有两种方式,实时抓包,读取 pcap文件   实时抓包:利用sniff方法来实现(eth0是要检测的网卡名,count是抓包的数量) from scapy.all import...
dpkt 解析 pcap 文件
ITxiaozhang7的博客
11-12 2944
dpktTutorial#2:ParsingaPCAPFile 正如我们在dpkt库第一部分教程所示,dpkt库构建数据包很简单。 Dpkt解析数据包和文件时是等同效率的,所以在第二部分的教程中我们将会证明解析 PCAP文件和被它所包含的包。 Dpkt在创建和解析数据包上是一个非常棒的框架。然而dpkt并没有很多文档,一旦你熟悉使用这个模块,其余方面就相当容易了。我将会用一些简单的小任务作为dpkt教程,希望能提供一些文档的例子。 如果你有任何项目想要用dpkt库完成,就写信给我。 在...
python dpkt_pythondpkt
weixin_39801879的博客
12-22 1306
dpkt定义了Packet类,这是所有其他dpkt定义的网络报文类型的基础类。Packet类继承自Object。1、ip,icmp等等子类都继承自dpkt class,每个子类都会定义一个__hdr__结构,该结构代表报文的头结构,是一个元组,其中包含若干个元组。每个子元组的结构是:(name, structfmt, default) ----(名称,结构格式,默认值)类中有一个pack_hdr(...
dpkt包官方文档解析汉化----PacketsExample(EthernetII层)
weixin_43989385的博客
09-17 1608
dpkt包官方文档解析汉化----PacketsExample(EthernetII层) # For each packet in the pcap process the contents #对于pcap中的每个包,处理内容 for timestamp, buf in pcap: # Print out the timestamp in UTC #用UTC打印时间戳 ...
pythondpkt分析数据包_pythondpkt分析数据包_dpkt解析数据包
weixin_33304597的博客
02-21 661
我试了 dpkt 是可以的。解析文件 2019_0416_1558_38.pcap 第一个报文是成功的,与 WireShark 展示一致。#coding=utf-8import osimport sysfrom dpkt.ip import IPfrom dpkt.pcap import Reader as PReaderfrom dpkt.ethernet import Ethernetfrom...
dpkt解析pcapng格式包
uh_eng的博客
12-27 1646
dpkt文档里没有找到解析pcapng格式的部分,以为dpkt不能解析pcapng格式的包。后面看到一份源码发现可以使用dpkt.pcapng.Reader()来读取pcapng格式。但是如果数据集中pcap格式的包和pcapng格式的包混合在一起就需要加一个判断,看到有这种写法的: pcapfile = open('xxx.pcapng', 'rb') try: pcaps = dpkt.pcap.Reader(pcapfile) except Exception as e: pcaps = dpk
dpkt python3安装包
02-08
原来的库只支持python2,搞了个python3版本,在windows7和python3.5下编译
python dpkt 包分析库
12-04
python dpkt-linux下的源码包 rtp包解析库,可以使用这个库从tcpdump的抓包文件中的rtp包导出为H.264
python dpkt
09-05
官方dpkt库文档
dpkt_python3_dpkt_
10-02
继承dpkt 的简单的依赖包
Python】测试dpkt解析pcap
weixin_30521649的博客
11-06 2177
1、前言 本想借助dpkt解析mail、dns、http来辅助分析pcap包进行分析,查阅资料学习却发现并不如使用scapy那么方便。 dpkt是一个python模块,可以对简单的数据包创建/解析,以及基本TCP / IP协议的解析,速度很快。 dpkt 手册 https://dpkt.readthedocs.io/en/latest/ dpkt 下载 https://pypi.org...
dpkt快速,简单的数据包创建解析,带有基本TCPIP协议的定义
02-07
DPKT代码库现在支持Python2和Python3感谢@kylekeppler @jonathanslenders @ sunhao2014和许多的努力。 鉴于对Python3支持的大量工作,肯定会出现一些皱纹。 如果发现问题,请提交问题 旧版/稳定版是dpkt == ...
解析pcap数据包,添加dpkt依赖后运行py文件即可
12-15
下载了别人的,改了改,能解析出来了,解析pcap数据包,提取出其中内容,http协议,https,icmp.dns
基于python的npcap库与dpkt库实现抓包及存储
hjz2196987870的博客
12-01 468
基于python的npcap库与dpkt库实现抓包及存储。
使用python解析pcap包的代码
最新发布
03-21
以下是一个使用Python解析pcap包的示例代码: ```python import dpkt with open('example.pcap', 'rb') as f: pcap = dpkt.pcap.Reader(f) for ts, buf in pcap: eth = dpkt.ethernet.Ethernet(buf) ip = eth.data tcp = ip.data print('Source IP: %s:%d Dest IP: %s:%d' % (inet_to_str(ip.src), tcp.sport, inet_to_str(ip.dst), tcp.dport)) ``` 这个代码使用dpkt库来解析pcap文件,然后打印出每个TCP数据包的源IP地址、源端口、目的IP地址和目的端口。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 26
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

MK_夕阳

你的鼓励将是我创作的最大动力

¥2 ¥4 ¥6 ¥10 ¥20
输入1-500的整数
余额支付 (余额:-- )
扫码支付
扫码支付:¥2
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、C币套餐、付费专栏及课程。

余额充值