python3使用scapy分析修改pcap大文件(1G)

最新推荐文章于 2025-04-08 21:55:37 发布
最新推荐文章于 2025-04-08 21:55:37 发布
阅读量1w 收藏 34
点赞数 5
分类专栏: 网络流量 文章标签: python3-scapy 大文件 pcap包处理
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38231051/article/details/81460427
版权

    对pcap文件分析比较常用的是C语言进行分析。这里由于常用python3,所以在网上寻找使用python3来处理这种大pcap包。不过现在网上有的对应教程非常少,而一大部分是用rdpcap来打开文件的,这个方法在打开大文件是完全行不通的,内存完全不够大,而且运行太慢。最后我找到了使用PcapReader读文件返回一个迭代器来解决大文件占用太多内存的问题。在pcap中数据结构里处理中也遇到了很多问题。下面我就说一下我的一些总结。【代码运行没问题】

附:如果觉得scapy处理大文件偏慢,希望能够更加快速的遍历pcap文件,可以看我的这篇博客:

https://blog.csdn.net/qq_38231051/article/details/82019782

python3安装scapy【仅供参考】:

https://www.cnblogs.com/z-joshua/p/6899700.html

首先导入包

from scapy.all import *

接下来是读取pcap文件:

with PcapReader('input.pcap') as pcap_reader:#返回一个迭代器
        for pkt in pcap_reader:#for循环进行遍历
            #对pkt进行相应的处理

要对pkt进行处理,首先得知道怎么访问自己要访问的数据,这里pkt直接打印会是这样:

这样的输出显然不是我们想要的,这里采用repr(pkt)返回一个字符串【这里我也不懂哈】,打印出来:

这里已经可以把一个数据包完整的打印出来了。但如果我们要对数据包进行过滤呢?比如把arp包过滤掉:

if 'ARP' in pkt:
    continue

就是这么简单,过滤TCP,UDP也是一样的。如果我们要对源IP,目的IP等进行更改,可以这样做:

pkt['Ether'].src = '00:00:00:00:00:01'
pkt['Ether'].dst = '00:00:00:00:00:03'
pkt['IP'].src = '10.0.0.1'
pkt['IP'].dst = '10.0.0.3'

前两个是更改mac地址,后面两个是更改IP地址,他这里的索引原理我没整明白,如果有懂这个的大佬望告知!

最后附上完整代码:

#coding=utf-8
from scapy.all import *
#import os


def change(pkt):
    pkt['Ether'].src = '00:00:00:00:00:01'
    pkt['Ether'].dst = '00:00:00:00:00:03'
    pkt['IP'].src = '10.0.0.1'
    pkt['IP'].dst = '10.0.0.3'
    return pkt

def write_file():#过滤并进行写文件

    writers = PcapWriter('udp_from_input.pcap')#被写的文件

    i=0

    with PcapReader('input.pcap') as pcap_reader:#进行读的文件
        for pkt in pcap_reader:
            if 'UDP' in pkt:
                #print(repr(pkt))
                pkt = change(pkt)
                writers.write(pkt=pkt)
                print(i)#计数用,表示程序还在跑,没有卡死
                i+=1

def read_test(n):#读函数
    i=0
    with PcapReader('udp_from_input.pcap') as pcap_reader:
        for pkt in pcap_reader:
            print(repr(pkt))
            if(i>n):
                break
            i+=1


if __name__=='__main__':
    read_test(4)#这里是进行读

希望能够多多交流!

 

 

pythonscapy解读pcap
AI拉呱,专注于人工智与网络安全方面的研究,关注一起学习。
06-01 986
运行后,脚本将输出每个数据的摘要信息以及相关的 IP 和端口信息。这个示例仅展示了如何读取和解读 pcap 文件的基本信息,你可以根据需要进一步扩展和定制解读逻辑。是一个非常强的网络数据处理库,可以用来捕获、解读和生成网络数据。然后,创建一个 Python 文件(例如。好的,下面是一个使用 Python 和。库来解读 pcap 文件的示例代码。首先,确保你已经安装了。
自动还原pcap数据文件的几种方法
村中少年的专栏
05-05 1812
使用scapy,tshark,wireshark还原pcap中的文件
scapy解析出pcap文件的http报文
Arion的笔记
03-20 1万+
p.show函数可以分层次打印pcap文件的内容 例程序1:#encoding=utf-8 import scapy.all as scapy ''' try: # This import works from the project directory import scapy_http.http except ImportError: # If you installe
Python Pcap解析性能优化分析
最新发布
xuemenghan的博客
04-08 487
Python读取Pcap时,逐解析和获取一定量的数之后再循环解析,哪个性能最优呢?
利用PythonScapy解析pcap文件
热门推荐
KylinKylin的专栏
06-11 2万+
每次写博客都是源于纳闷,python解析pcap这么常用的例子网上竟然没有,全是一堆命令行执行的python,能用吗?玩呢?pip安装scapy,然后解析pcap:import scapy from scapy.all import * from scapy.utils import PcapReader packets=rdpcap("./test.pcap") for data in pack...
[Python][Scapy]使用Scapy解析pcap格式数据
friend_c的博客
04-11 1万+
欢迎使用Markdown编辑器 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Markdown编辑器, 可以仔细阅读这篇文章,了解一下Markdown的基本语法知识。 新的改变 我们对Markdown编辑器进行了一些功能拓展与语法支持,除了标准的Markdown编辑器功能,我们增加了如下几点新功能,帮助你用它写博客: 全新的界面设计 ,将会带来全新的写作体...
python之用scapy分层解析pcap报文(Ethernet帧、IP数据、TCP数据、UDP数据、Raw数据
GFS_lele的博客
03-27 2万+
一、工具准备   下载安装scapy(https://blog.csdn.net/qq_23977687/article/details/88046257) 二、scapy用法   1.1、得到数据   有两种方式,实时抓,读取 pcap文件   实时抓:利用sniff方法来实现(eth0是要检测的网卡名,count是抓的数量) from scapy.all import...
利用PythonScapy解析pcap文件的方法
09-19
今天小编就为家分享一篇利用PythonScapy解析pcap文件的方法,具有很好的参考价值,希望对家有所帮助。一起跟随小编过来看看吧
Python分析数据量较pcap
Crazy177的博客
01-21 1733
Python分析数据量pcap优化
Python教程:使用scapy模块实现一个网络抓小工具(附完整源码)
复现的博客
03-25 4387
Scapy 是一个强Python 第三方库,用于处理网络数据括抓取、解析、构造和发送各种类型的网络数据。本文利用scapy模块设计开发一个网络抓小工具。
python读取数据校验数据,如何使用Scapy Python读取数据TLS元数据
weixin_39637979的博客
11-28 620
How can I read TLS information (record length, record type...) from a packet using scapy. I have used load_layer('tls') and I'm able to read some information when there is a single TLS record in a pac...
python读取数据校验数据_如何使用Scapy Python读取数据TLS元数据
weixin_39964590的博客
11-28 527
How can I read TLS information (record length, record type...) from a packet using scapy. I have used load_layer('tls') and I'm able to read some information when there is a single TLS record in a pac...
帮助指南 | Python通过Scapy库读取超PCAP格式数据缓慢问题
.
09-04 1450
在进行「流量数据分析」的过程中,想利用PythonScapy库写脚本来协助分析流量数据。但是,由于需要分析的数据(500M以上),导致脚本在加载数据文件后读取执行异常的慢。而通过下面这种方式读取数据就会快很多,但在分析流量数据上就没有Scapy那么“友好”。 import dpkt from scapy import * # 读取pcap文件 f = open('file_name.pcap','rb') pcap = dpkt.pcap.Reader(f) for ts,buf i..
利用 Python 解析pcap文件
huakej_的博客
07-08 1315
例如,在dpkt中,您可以使用dpkt.pcap.Reader.filter()方法来过滤数据,在scapy中,您可以使用scapy.layers.l2.Ether()scapy.layers.l3.IP()等过滤器来过滤数据。例如,在dpkt中,您可以使用ts变量来获取数据的起始时间,在scapy中,您可以使用pkt.time变量来获取数据的起始时间。例如,在dpkt中,您可以使用dpkt.pcap.Writer()类来保存数据,在scapy中,您可以使用wrpcap()函数来保存数据
scapy库读取大文件优化方案:利用迭代器,使用 pcapreader 函数创建一个迭代器,逐行读取 pcap 文件
zengliguang的专栏
07-11 388
类来创建一个迭代器,逐行读取 pcap 文件。类打开 pcap 文件,并将其作为一个迭代器。你可以在循环内部对数据进行处理分析。循环逐行读取数据,并将每个数据存储在。在 Scapy 中,可以使用
python kamena(scapy修改pcap
liutianheng654的博客
04-03 3634
原本有人分析过viber的聊天报文,是两个字节开头,而后加上标准rtp流的,不知道新的viber是不是依旧这样,粗略从流量上看是的,但是不靠谱啊,怎么办呢,写个工具,把前面两个字节的头剥了,看看后面的能不能解析成rtp之后播放。 语言选择:python3.6 已有环境 anaconda3 先下载 pip install scapy-python3 这里下载完之后用不了,错误信息概就是不支...
python+scapy进行修改pcap报文
小白成长之路的博客
07-07 3516
python+scapy简单修改数据
python之写报文
Rookie_test的博客
04-13 530
from scapy.all import * from scapy.layers.inet import * from scapy.layers.http import * from scapy.layers.l2 import * 写报文 # def write(fileName, packets): # writer = PcapWriter(fileName, append=True) # for p in packets: # writer.write(p) #
scapypcap处理入门
无名J0kзr的博客
08-09 2451
文章目录安装导读取pcap文件显示已格式化的数据访问某层的特定字段值修改某层的特定字段值时间戳 安装 pip install scapy import scapy from scapy.all import * from scapy.utils import PcapReader 读取pcap文件 第一种:一次性读入内存 pkts = rdpcap('./wuming.pcap') for pkt in pkts: ... 第二种:逐个读入。每次调用read_packet()都会读入
DNS流量***.ichunqiu.com如何提取出来
03-15
<think>好的,我现在需要解决用户的问题:如何从DNS流量中提取特定域名***.ichunqiu.com。用户提到了使用工具和技术实现。首先,我得回忆一下DNS协议的结构和常见的数据分析工具。 首先,DNS请求和响应都是基于UDP或TCP协议的,通常使用端口53。每个DNS数据含查询的域名信息。要提取特定域名,需要解析DNS流量中的查询字段。 然后,常用的工具括Wireshark、tcpdump,以及一些专门处理DNS的工具如dnscap、dnsparse。另外,用户可能想自动化处理,可以写脚本用Scapy库解析pcap文件。 接下来,具体步骤可能括捕获流量、过滤DNS数据、提取查询的域名,然后匹配目标域名。在Wireshark中,可以用过滤表达式dns.qry.name contains "ichunqiu.com"。如果是批处理或自动化,可能需要用tshark命令行工具或者Python脚本。 还要考虑DNS流量的加密问题,但通常DNS是明文传输的,所以可以直接解析。另外,注意域名可能是小写不敏感的,但提取时最好统一转为小写处理。 然后,用户提供的引用中提到了工具如nmap、dirsearch等,但这些可能不直接相关。但引用2提到子域名收集的接口,可能结合在线工具辅助验证提取到的域名是否有其他子域名。 最后,需要验证方法的有效性,比如使用样本流量测试是否能正确提取目标域名,并处理可能的误报,如引用1提到的设备误报情况,可能需要二次验证提取结果。</think>### 从DNS流量中提取特定域名的方法 #### 步骤说明 1. **流量捕获** 使用工具如`tcpdump`或`Wireshark`捕获网络流量。例如: ```bash tcpdump -i eth0 port 53 -w dns.pcap ``` 此命令将监听`eth0`接口的53端口(DNS默认端口)并保存为`dns.pcap`文件[^3]。 2. **流量过滤** - **Wireshark图形化过滤** 在Wireshark中输入过滤表达式: ```dns.qry.name contains "ichunqiu.com"``` 可直接筛选出所有含目标域名的DNS请求[^2]。 - **命令行工具过滤** 使用`tshark`(Wireshark的命令行版本)提取域名: ```bash tshark -r dns.pcap -Y &#39;dns.qry.name contains "ichunqiu.com"&#39; -T fields -e dns.qry.name ``` 3. **自动化脚本提取** 使用Python的`Scapy`库解析流量: ```python from scapy.all import * def extract_dns(pkt): if pkt.haslayer(DNSQR): # 检查是否为DNS查询 domain = pkt[DNSQR].qname.decode(&#39;utf-8&#39;).rstrip(&#39;.&#39;) if "ichunqiu.com" in domain: print(domain) sniff(offline="dns.pcap", prn=extract_dns, filter="udp port 53") ``` 4. **专用工具辅助** - **dnscap**:专用于DNS流量分析,可提取查询记录: ```bash dnscap -r dns.pcap -g -D "ichunqiu.com" ``` - **DNSDump**:实时监控并过滤域名: ```bash dnsdump --filter "ichunqiu.com" ``` #### 关键点 - **域名匹配**:DNS查询字段为明文,直接通过字符串匹配即可提取。 - **小写处理**:DNS域名不区分小写,建议统一转为小写后匹配。 - **误报排除**:某些设备可能误报未解析成功的请求(如引用[^1]所述),需结合响应字段(`dns.flags.response`)过滤无效请求。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值