python3使用scapy分析修改pcap大文件(1G)

最新推荐文章于 2024-03-14 09:20:19 发布
最新推荐文章于 2024-03-14 09:20:19 发布
阅读量1w 收藏 33
点赞数 5
分类专栏: 网络流量 文章标签: python3-scapy 大文件 pcap包处理
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38231051/article/details/81460427
版权

    对pcap文件分析比较常用的是C语言进行分析。这里由于常用python3,所以在网上寻找使用python3来处理这种大pcap包。不过现在网上有的对应教程非常少,而一大部分是用rdpcap来打开文件的,这个方法在打开大文件是完全行不通的,内存完全不够大,而且运行太慢。最后我找到了使用PcapReader读文件返回一个迭代器来解决大文件占用太多内存的问题。在pcap中数据结构里处理中也遇到了很多问题。下面我就说一下我的一些总结。【代码运行没问题】

附:如果觉得scapy处理大文件偏慢,希望能够更加快速的遍历pcap文件,可以看我的这篇博客:

https://blog.csdn.net/qq_38231051/article/details/82019782

python3安装scapy【仅供参考】:

https://www.cnblogs.com/z-joshua/p/6899700.html

首先导入包

from scapy.all import *

接下来是读取pcap文件:

with PcapReader('input.pcap') as pcap_reader:#返回一个迭代器
        for pkt in pcap_reader:#for循环进行遍历
            #对pkt进行相应的处理

要对pkt进行处理,首先得知道怎么访问自己要访问的数据,这里pkt直接打印会是这样:

这样的输出显然不是我们想要的,这里采用repr(pkt)返回一个字符串【这里我也不懂哈】,打印出来:

这里已经可以把一个数据包完整的打印出来了。但如果我们要对数据包进行过滤呢?比如把arp包过滤掉:

if 'ARP' in pkt:
    continue

就是这么简单,过滤TCP,UDP也是一样的。如果我们要对源IP,目的IP等进行更改,可以这样做:

pkt['Ether'].src = '00:00:00:00:00:01'
pkt['Ether'].dst = '00:00:00:00:00:03'
pkt['IP'].src = '10.0.0.1'
pkt['IP'].dst = '10.0.0.3'

前两个是更改mac地址,后面两个是更改IP地址,他这里的索引原理我没整明白,如果有懂这个的大佬望告知!

最后附上完整代码:

#coding=utf-8
from scapy.all import *
#import os


def change(pkt):
    pkt['Ether'].src = '00:00:00:00:00:01'
    pkt['Ether'].dst = '00:00:00:00:00:03'
    pkt['IP'].src = '10.0.0.1'
    pkt['IP'].dst = '10.0.0.3'
    return pkt

def write_file():#过滤并进行写文件

    writers = PcapWriter('udp_from_input.pcap')#被写的文件

    i=0

    with PcapReader('input.pcap') as pcap_reader:#进行读的文件
        for pkt in pcap_reader:
            if 'UDP' in pkt:
                #print(repr(pkt))
                pkt = change(pkt)
                writers.write(pkt=pkt)
                print(i)#计数用,表示程序还在跑,没有卡死
                i+=1

def read_test(n):#读函数
    i=0
    with PcapReader('udp_from_input.pcap') as pcap_reader:
        for pkt in pcap_reader:
            print(repr(pkt))
            if(i>n):
                break
            i+=1


if __name__=='__main__':
    read_test(4)#这里是进行读

希望能够多多交流!

 

 

微笑永恒-
关注
  • 5
    点赞
  • 33
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
python使用scapy修改替换pcap的payload
01-21
python使用scapy修改替换pcap的payload 例如替换http get请求的内容,替换tcp负载内容
利用Python库Scapy解析pcap文件的方法
09-19
今天小编就为大家分享一篇利用Python库Scapy解析pcap文件的方法,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
学习Python渗透第一天:Python中的Scapy
最新发布
2203_75839317的博客
03-14 1142
由于数据中的数据由多种协议组成,而为了解析方便,我们将这些协议大致分为四层,也就是TCP/IP协议,由下至上分别是:数据链路层,网络层,传输层,应用层。因为这些分层,数据的结构变的清晰明了。而scapy库就是可以直接操作数据里的这些层级的库。
利用scapy等模块进行流量的抓取并保存为pcap文件
08-19
利用scapy等模块进行流量的抓取并保存为pcap文件,过滤语法为BPF
python使用scapy实现修改pcap响应头中的Date字段内容
11-02
修改pcap,如果含http响应头,修改其中的date字段,重新生成新的pcap。 python环境3.9.9,scapy版本:2.5.0
使用PYTHON解析Wireshark的PCAP文件方法
01-21
PYTHON首先要安装scapy模块 PY3的安装scapy-python3使用PIP安装就好了,注意,PY3无法使用pyinstaller打文件,PY2正常 PY2的安装scapy,比较麻烦 from scapy.all import * pcaps = rdpcap(file.pcap) pcaps便是解析后的类似结构体的东西了 <pre name=code class=python>packet=pcaps[0] #第1个数据结构 packet.time#数据时间戳 packet[Raw].load#PY3读取节点数据方法,packet[IP].src;pac
帮助指南 | Python通过Scapy库读取超大PCAP格式数据缓慢问题
.
09-04 1132
在进行「流量数据分析」的过程中,想利用Python的Scapy库写脚本来协助分析流量数据。但是,由于需要分析的数据过大(500M以上),导致脚本在加载数据文件后读取执行异常的慢。而通过下面这种方式读取数据就会快很多,但在分析流量数据上就没有Scapy那么“友好”。 import dpkt from scapy import * # 读取pcap文件 f = open('file_name.pcap','rb') pcap = dpkt.pcap.Reader(f) for ts,buf i..
[Python][Scapy]使用Scapy解析pcap格式数据
friend_c的博客
04-11 1万+
欢迎使用Markdown编辑器 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Markdown编辑器, 可以仔细阅读这篇文章,了解一下Markdown的基本语法知识。 新的改变 我们对Markdown编辑器进行了一些功能拓展与语法支持,除了标准的Markdown编辑器功能,我们增加了如下几点新功能,帮助你用它写博客: 全新的界面设计 ,将会带来全新的写作体...
scapy 解析pcap数据笔记
abc
04-16 5795
scapy 解析pcap数据笔记 1 from scapy.all import * def analyzePcap(filepath): s1 = PcapReader(filepath) # data 是以太网 数据 data = s1.read_packet() ip_packet = data.payload icmp_packet = ip_packet.payload payload = icmp_packet.payload
python之用scapy分层解析pcap报文(Ethernet帧、IP数据、TCP数据、UDP数据、Raw数据
GFS_lele的博客
03-27 2万+
一、工具准备   下载安装scapy库(https://blog.csdn.net/qq_23977687/article/details/88046257) 二、scapy用法   1.1、得到数据   有两种方式,实时抓,读取 pcap文件   实时抓:利用sniff方法来实现(eth0是要检测的网卡名,count是抓的数量) from scapy.all import...
scapypcap处理入门
无名J0kзr的博客
08-09 1392
文章目录安装导读取pcap文件显示已格式化的数据访问某层的特定字段值修改某层的特定字段值时间戳 安装 pip install scapy import scapy from scapy.all import * from scapy.utils import PcapReader 读取pcap文件 第一种:一次性读入内存 pkts = rdpcap('./wuming.pcap') for pkt in pkts: ... 第二种:逐个读入。每次调用read_packet()都会读入
python解析pcap报文_scapy解析pcap文件
weixin_39714307的博客
12-04 1243
针对wireshark或者tcpdump捕获的文件使用python中的scapy库可以非常方便的进行解析,但是也存在一些坑。scapy是一个非常强大的流量操作工具,可以针对请求或者响应从tcp/Ip的各层进行处理,官方网址为:https://scapy.net。但是需要注意一点的是单独的scapy库能做的工作有限,还有2个必须引进的库,即针对https进行解析的#安装这三个库最好在linux下...
使用Scapy分析pcap数据
janeeyer的专栏
08-02 1万+
网络上首先搜到的是如下用法: 看到 “for pktno in range(len(pkts))”,知道rdpcap是把整个数据读入内存中。我担心数据很大的情况下,性能影响很大。 于是继续搜,搜到了一篇这样使用的陷阱。解析如下: Scapy所在目录:C:\Python27\Lib\site-packages\scapy Rdpcap函数在utils.
利用Python库Scapy解析pcap文件
热门推荐
KylinKylin的专栏
06-11 2万+
每次写博客都是源于纳闷,python解析pcap这么常用的例子网上竟然没有,全是一堆命令行执行的python,能用吗?玩呢?pip安装scapy,然后解析pcap:import scapy from scapy.all import * from scapy.utils import PcapReader packets=rdpcap("./test.pcap") for data in pack...
python分析pcap文件_利用Python库Scapy解析pcap文件的方法
weixin_39887715的博客
11-30 709
每次写博客都是源于纳闷,python解析pcap这么常用的例子网上竟然没有,全是一堆命令行执行的python,能用吗?玩呢?pip安装scapy,然后解析pcap:import scapyfrom scapy.all import *from scapy.utils import PcapReaderpackets=rdpcap("./test.pcap")for data in packets:...
Scapy读取 pcaps 的方法,读取网络捕获文件是提取信息、样本或其他网络流量信息的常见任务,Scapy是解决此问题的首选工具
code2day的博客
03-02 1093
读取网络捕获文件可能是提取信息、样本或其他网络流量信息的常见任务。在 Python 中执行此操作时,Scapy是解决此问题的首选工具。编写一个从 pcaps 中提取信息的工具时,我遇到了处理时间缓慢且内存消耗增加的情况。使用正在发生的事情寻找不同的替代方案scapy可以很好地学习用于分析 python 的工具。使用 Scapy 读取 pcap 文件通常是通过使用rdpcap(). 此函数读取整个文件并将其加载到内存中,具体取决于您尝试读取的文件的大小可能会占用相当多的内存。
python+scapy进行修改pcap报文
小白成长之路的博客
07-07 2724
python+scapy简单修改数据
python之读报文
Rookie_test的博客
04-13 3765
from scapy.all import * # from scapy.layers.inet import * # from scapy.layers.http import * # from scapy.layers.l2 import * # import os with PcapReader(“1.pcap”) as pr: for pkt in pr: print(pkt.show()) # 展示出所有字段,即可根据展示的层次关系,自行读取自己想要的 print(pkt[‘IP’].
python重放plc_当使用scapy和python脚本重放pcap文件时,如何修复TCP超出范围序号错误?...
weixin_29620579的博客
02-04 351
使用下面的python脚本从Debian机器重放PCAP文件。在from scapy.all import *global src_ip, dst_ipsrc_ip = "10.1.1.14"dst_ip = "10.1.1.1"src_mac = "Src_mac_addr"dst_mac = "Dst_mac_addr"infile = "mms.pcap"def my_send(rd, c...
python使用scapy分析pcap获取子域名
04-30
使用 Scapy 分析 pcap 获取子域名可以通过以下步骤实现: 1. 导入 Scapy 库和 re 正则表达式库。 ```python from scapy.all import * import re ``` 2. 读取 pcap 文件并解析出 DNS 。 ```python pcap = ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值