PCAP处理工具大全

已于 2024-03-27 21:22:33 修改
阅读量4k 收藏 32
点赞数 20
分类专栏: 流量处理 文章标签: python 网络安全
于 2023-06-23 15:43:44 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40379977/article/details/130339958
版权

目录

流量处理工具

SplitCap

EditCap

tshark

tcpreplay

PYTHON库

Scapy

DPKT

pcap-ct

flowcontainer

流量处理工具

  • SplitCap

    • 官方链接:https://www.netresec.com/index.ashx?page=SplitCap
    • 平台:win平台工具,需要下载,下载后直接在命令行执行即可。
    • 功能:可将pcap按流、会话、主机对、MAC等方式切分为若干个小pcap。
    • 示例:
    SplitCap.exe -r test.pcap -s session -o ./split_pcaps

-r: 读取pcap
-s: 切分方式,session为按会话切分
-o: 输出文件夹路径

  • EditCap

    • 官方链接:editcap(1)

    • 平台:win,同wireshark一起安装,一般在同目录下。
    • 功能:切割pcap,按包数、包长等。
    • 示例: 
    editcap.exe -F pcap -c 1000 src.pcap dst.pcap

editcap.exe -F pcap -i 10 src.pcap dst.pcap

-F: 输出格式,默认为pcapng
-c: 按n个包切分
-i: 按n秒间隙分割
src.pcap: 源pcap包
dst.pcap: 输出pcap包名,会按此格式生成切分后的若干个pcap包

  • tshark

    • 官方连接:tshark(1)
    • 平台:win,linux;win下同wireshark一起安装,一般在同目录下。
    • 功能:提取pcap中每个数据包的指定字段。
    • 示例:
    tshark -r src.pcap -T fields -e frame.len -e ip.proto -e tcp.srcport -E header=y > dst.csv

-e 指明需要提取的字段
-e frame.time_relative 包的相对时间
-e ip.src 源IP
-e ip.dst 目的IP
-e ip.proto 协议名
-e tcp.srcport 源Port
-e tcp.dstport 目的Port
-e frame.len 包大小
-E header=n 是否输出表头

        参考:网络分析利器:Tshark - 简书

tcpreplay -i ens33 -l 1 -t test.pcap

-i:网卡名
-t:最高速度回放
-l:循环次数
-p:以每秒多少包的速度回放
-x:以捕获速度的倍数重放

        

PYTHON库

以下各个库功能主要以读取、处理pcap文件实时监听网卡并抓包为主。

  • Scapy

官方文档:介绍 — Scapy 2.4.4. 文档

优点:简单易上手

缺点:速度非常慢,执行rdpcap时会将整个pcap读入内存,因此读取超大pcap时需配合splitcap、editcap等工具共同使用。

from scapy.all import *

# 读取pcap文件
packets = rdpcap('test.pcap')    # packets = rdpcap('test.pcap', 200)

# 遍历数据包
for packet in packets:

    # 若当前包不包含DNS协议,跳过
    if 'DNS' not in packet:
        continue

    # 若当前DNS报文不包含DNS问题记录,跳过
    if 'DNS Question Record' not in packet['DNS']:
        continue

    # 若DNS报文的qr字段为1(响应报文),则打印该报文需要回复的域名
    if packet['DNS'].qr == 1:
        print(packet['DNS']['DNS Question Record'].qname)

注:

1. rdpcap方法可传入第二个参数(int),指定读取数据条数,若设置较小,可极大提升读取速度。

2. 执行packet.show()会输出当前packet所有可访问字段和值,可为程序读取提供参考。

使用scapy处理超大PCAP包时,可使用以下方法:

from scapy.all import *
load_layer("tls")


class PCAPProcessor:
    def __init__(self):
        pass
    
    # 依次读取超大pcap中的每个packet
    def yield_packet(self, src_file_path):
        with PcapReader(src_file_path) as pcap_reader:  # 返回一个迭代器
            for pkt in pcap_reader:  # for循环进行遍历
                yield pkt
    
    # 写入pcap
    def write_pkt(self, pkt, dst_file_path):
        wrpcap(dst_file_path, pkt, append=True)


if __name__ == '__main__':
    p = PCAPProcessor()
    g = p.yield_packet('./test.pcap')

    while True:
        try:
            pkt = next(g)
            
            # 此处调用处理每个packet的函数
        except Exception as e:
            break

参考:python3使用scapy分析修改pcap大文件(1G)_scapy切分大的pcap文件-CSDN博客

Scapy也可以实时监听网卡,使用callback来处理监听到的每个包:

from scapy.all import *


def callback(packet):
    if packet.haslayer('HTTP'):
        http = packet.payload.payload.payload
        print(http.show())


sniff(prn=callback, iface='ens33', count=0)

  • DPKT

官方文档:dpkt — dpkt 1.9.2 documentation

优点:pcap读取速度远快于scapy。

缺点:使用相比scapy更繁琐,实时抓包的功能需要配合pcap-ct库使用。

import dpkt

# 读取pcap文件
with open('test.pcap', 'rb') as f:
    pcap = dpkt.pcap.Reader(f)
    
    # 遍历数据包
    for timestamp, buf in pcap:
        eth = dpkt.ethernet.Ethernet(buf)

        # 获取IP层,若当前包不存在IP层则continue
        if not isinstance(eth.data, dpkt.ip.IP):
            continue
        ip = eth.data

        # 获取UDP层,若当前包不存在UDP层则continue
        if not isinstance(ip.data, dpkt.udp.UDP):
            continue
        udp = ip.data

        # 将udp载荷读取为DNS报文
        try:
            dns = dpkt.dns.DNS(udp.data)
        except Exception as e:
            continue

        # 若DNS报文的qr字段为1(响应报文),则打印该报文需要回复的域名
        if dns.qr == 1:
            if len(dns.qd) > 0:
                print(dns.qd[0].name)

  • pcap-ct

可用于实时抓包,配合dpkt分析。

import dpkt
import pcap     # pcap-ct

sniffer = pcap.pcap(name='ens33', promisc=True, immediate=True, timeout_ms=50)

for ts, pkt in sniffer:
    eth = dpkt.ethernet.Ethernet(pkt)

    if not isinstance(eth.data, dpkt.ip.IP):
        continue
    ip = eth.data

    if not isinstance(ip.data, dpkt.tcp.TCP):
        continue
    tcp = ip.data

    # process the data
    print(tcp.flags)

  • flowcontainer

文档:GitHub - jmhIcoding/flowcontainer: 从pcap获取流的基本信息工具

功能:按流的粒度处理pcap

参考:flowcontainer: 基于python3的pcap网络流量特征信息提取库_Icoding_F2014的博客-CSDN博客

from flowcontainer.extractor import extract

result = extract(r"test.pcap",filter='',extension=["tls.handshake.extensions_server_name","tls.handshake.ciphersuite"])

for key in result:
    ### The return vlaue result is a dict, the key is a tuple (filename,procotol,stream_id)
    ### and the value is an Flow object, user can access Flow object as flowcontainer.flows.Flow's attributes refer.

    value = result[key]
    print('Flow {0} info:'.format(key))
    print('src ip:',value.src)
    print('dst ip:',value.dst)
    ## access payload packet lengths
    print('payload lengths :',value.payload_lengths)
    ## access payload packet timestamps sequence:
    print('payload timestamps:',value.payload_timestamps)
Ziieq
关注
  • 20
    点赞
  • 32
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
pcap文件解析工具_PcapXray:一款功能强大的带有GUI的网络取证工具
weixin_39728320的博客
12-21 3398
前言网络取证工具通常是安全研究专家用来测试目标网络系统安全性的特殊工具,今天我们给大家介绍的正是这样的一种工具。该工具名叫PcapXray,它带有非常强大的GUI界面,并且能够帮助我们离线分析捕获到的数据包。该工具不仅能够扫描出目标网络内的所有主机、网络通信流量、以高亮的形式标注重要流量和Tor流量,而且还能够识别和扫描出潜在的恶意流量。该工具包含了以下组件:1. 网络图表2. 设备/流量细节和分...
tlsstats:.pcap分析的小工具。 提供有关使用的TLS版本和密码的信息
05-02
TLS统计 该Go软件以pcap网络捕获为输入,对其进行分析并输出有关TLS版本和使用的密码的一些数字,例如: 145876 packets analyzed. Here are the results: === TLS versions supported by clients === TLS 1.2 1846 TLS 1.0 24 === TLS versions chosen by server === TLS 1.2 1936 === Ciphers supported by clients: === TLS_RSA_WITH_AES_128_CBC_SHA 1866 TLS_RSA_WITH_AES_256_CBC_SHA 1866 TLS_ECDHE
PCAP详解
最新发布
qq_61636702的博客
04-10 1276
即 Packet(通常就是链路层的数据帧去掉前面用于同步和标识帧开始的8字节和最后用于CRC校验的4字节)具体内容,长度就是Caplen,这个长度的 后面,就是当前PCAP文件中存放的下一个Packet数据包,也就是说:PCAP文件里面并没有规定捕获的Packet数据包之间有什么间隔字符串,我 们需要靠第一个Packet包确定下一组数据在文件中的起始位置,向后以此类推。4字节 保存下来的包长度(最多是snaplen,比如68字节),即抓取到的数据帧长度,由此可以得到下一个数据帧的位置。4B 时间戳的精度;
可视化数据包分析工具-CapAnalysis
weixin_33728268的博客
11-16 550
可视化数据包分析工具-CapAnalysis我们知道,Xplico是一个从pcap文件解析出IP流量数据的工具,本文介绍又一款实用工具—CapAnalysis(可视化数据包分析工具),将比Xplico更加细致的分析功能,先别着急安装,下面我们首先了解Pcap包的基本结构,然后告诉你如何使用,最后是一段多媒体教程给大家演示一些精彩环节。下面这段我制作的可视化视频也深受大家喜欢:http://www...
网络抓包数据文件(.pcap/.cap)解析工具(Java实现)
我要学Java_blog
09-27 6708
前言 pcap/.cap文件是常用的数据报存储格式文件,数据按照特定格式存储,普通编辑器无法正常打开该类型文件,使用Ultra Edit编辑器能够以16进制的格式查看数据,无法直观查看数据重要信息。需要特定的解析工具软件读取查看如WiresharkPortable或Microsoft Network Monitor等。 问题 然而一些开发任务需要数据文件(.pcap/.cap)某项信息进行后续处理,无法使用软件获取信息输入到程序中,对开发任务带来一些困难。 解决 引入pcap4j库,该库通过网
pcap文件格式及文件解析
热门推荐
JackyOps
09-19 3万+
第一部分:PCAP文件格式 一 基本格式:    文件头 数据包头数据报数据包头数据报...... 二、文件头:        文件头结构体  sturct pcap_file_header  {       DWORD           magic;       DWORD           version_major;       DWORD           ve
PCAP文件解析软件
07-12
具备WIRESHARK的大部分功能,主要是指针的偏移来完成的。对初学者有一定的帮助。
解析pcap文件,逐步认识tcp/ip协议栈
保持敏锐,保持进化。
07-10 4815
通过解析pcap初步认识协议栈
Wireshark抓包入门到精通实战教程
03-06
学习利用抓包神器Wireshark分析网络故障,了解网络协议原理,注重实战分析案例。
一款新兴的操作pcap的神器
01-07 1134
一 前言有机会接触到这款软件,还是同事的一个图,图介绍了开源项目Zed和基于Zed做的一款全流量安全产品Brim。整个产品其实是不少开源项目的一个小集成,只所以感兴趣,除了brim在github有1.5k个star的原因外,更吸引我的是它使用了一种新的数据结构,超结构化的数据模型,通过这种结构可以集数据的压缩、索引、数据的分析于一体,而不用数据存储的各类数据库、NoSQL,简单方便。二 Zed和它...
Pcap 数据包捕获格式详解
人人都懂物联网
05-24 1万+
Pcap 是 Packet Capture 的英文缩写,是一种行业标准的网络数据包捕获格式。如果你是网络开发人员,那么通常会使用 Wireshark、Tcpdump 或 WinDump 等网络分析器捕获 TCP/IP 数据包,而抓包后存盘的文件格式就是 .pcap 文件文件格式 Pcap 文件格式是一种二进制格式,支持纳秒级精度的时间戳。虽然这种格式在不同的实现中有所不同,但是所有的 pcap 文件都具有如下图所示的一般结构。 全局报头 全局报头(Global Header)包含魔数(Magic nu
PacketQ:一种为PCAP文件提供基本SQL前端的工具
01-30
封包 packetq是用于直接在PCAP文件上运行SQL查询的命令行工具,结果可以输出为JSON(默认),格式化/紧凑的CSV和XML。 它还包含一个非常简单的Web服务器,以便远程检查PCAP文件。 PacketQ以前称为DNS2db,但在2011年重建时重命名,可以处理DNS以外的协议。 我们的,和文档中提供了更多信息。 有关PacketQ功能的简短演示视频,请访问 产品特点 PCAP文件的超快速本机解码(甚至压缩)和脏污快速的内存中排序算法。 可扩展的协议解码设计从一开始就内置支持ICMP和DNS。 支持分组,排序,计数和大多数其他重要SQL函数。 仅依赖于zlib,不需要其他难以找到的库。 编译所有内容。 内置的Web服务器,JSON API和带有图形的基于JQuery的简单GUI概念应用程序。 可通过将PCAP处理为静态JSON文件(可用于再次进行查询)来缓存查询。 内置DNS解析器功能(由GUI使用)。 支持采样。 对大型,统一的PCAP文件进行查询时有帮助。 可以将数据包标题中的标志实时转换为文本。 可以对内存中的相同数据进行多个查询。 可以在
NFDUMP - Netflow processing tools:Netflow收集和处理工具-开源
05-09
***该项目移至Github *** https://github.com/phaag/nfdump但是,您可能要从此处下载旧版本。 nfdump是一组用于收集和处理netflow数据的工具。 它速度很快,并具有强大的过滤器pcap(如语法)。 它支持netflow版本v1,v5,v7,v9和IPFIX,以及一组有限的sflow。 它包括对CISCO ASA(NSEL)和CISCO NAT(NEL)设备的支持,这些设备将事件日志记录记录作为v9流导出。 nfdump完全兼容IPv6。
extract.exe
11-03
extract解压命令【dos】 【命令格式】要解压的程序文件名(含后缀)/extract:盘符:\解压后放置文件的目录。如 office2010x86.exe/extract:d:\down\office 【使用步骤】运行cmd,转入要解压程序文件所在目录;输入 程序文件名.exe/extract:要解压到的文件夹目录,回车。 问题1:执行extract解压命令,出现提示,extract不是内部命令或外部命令,也不是可运行的程序或批处理文件。可能是winxp系统没有extract命令(该命令原使用在dos里)。这时可下载Windows XP Service Pack 2 支援工具,即WindowsXP-KB838079-SupportTools-ENU.exe,里面包括extract等一些支持工具。安装后,再执行extract解压命令,即可正常解压。(已成功验证) 问题2:网例要求extract命令前面的要解压程序文件名,在cd进入所在目录情况下,还一定要全目录即绝对目录,但我实际操作是直接程序文件名即相对目录,仍然成功。
FFMPEG SDL编解码音视频图像网络处理工具集合pcaprtp码流数据包h264h265pcm
10-26
自己没事时候做的音视频、图像处理、网络分析有关的MFC工具,赚点积分,王者荣耀风格,本版本由于CSDN大小限制,是阉割版安装包,32位64位皆可用,完整版2G左右太大传不了。工具包括FFMPEG原生万能视频解码器、音视频分离器、YUV视频解码器、PCAP数据包音视频码流播放器、RTP码流推流器、PCM音频文件播放器、PCM转AAC转换器、主机端口检测器、FTP快登、IP主机网络转换、264视频分析、UDP/TCP网络调试工具、串口调试工具、265PCAP码流提取、TS视频流分析、VideoEye万能视频播放器、音频多功能处理器、群ping工具、显卡硬盘显示器CPU等检测工具、网络邻居破解版、IP雷达、掩码计算、飞秋、快速截图工具、YUV图片查看、360测速、文件比较破解版、Adb调试工具、Putty远程连接工具。以上工具无需安装,直接用即可。由于是临时阉割,不保证稳定性。音视频处理有关的可以下载,勿乱下载丢分数。安装密码:7510961
ffmpeg音视频处理工具
02-12
非常强大的图片音视频处理工具,支持CMD运行,包含dll一起。指令可以网上找,非常简单实用的工具ffmpeg新版
gdpr:Wireshark pcap文件的更新工具,用于匿名显示跟踪中的个人身份数据
05-02
gdpr注意Wireshark pcap跟踪文件的更新工具,用于使跟踪中的个人可识别数据匿名化。 通过匿名化任何个人身份数据,这将允许存储pcap文件。 该代码将:- 读取所有数据包在UDP或TCP数据包中找到任何SIP数据包解析所有...
MTU修改工具.rar
04-02
附带使用方法: 有时候网络查不到的疑难杂症,可能就是...如果MTU过大,在碰到路由器时会被拒绝转发,因为它不能处理过大的包。如果太小,因为协议一定要在包上加上包头,那实际传送的数据量就会过小,这样也划不来。
Pcap文件详解
辞树
11-29 1万+
pcap文件是常用的数据报存储格式,可以理解为就是一种文件格式,只不过里面的数据是按照特定格式存储的,所以我们想要解析里面的数据,也必须按照一定的格式。普通的记事本打开pcap文件显示的是,用安装了HEX-Editor插件的Notepad++打开,能够以16进制数据的格式显示,或者使用sublime打开以十六进制的格式显示。用wireshark这种抓包工具就可以正常打开这种文件,愉快地查看里面的网络数据报了,同时wireshark也可以生成这种格式的文件。还有一些其他网络分析工具
wireshark pcap文件解析
08-26
Wireshark是一个流行的网络协议分析工具,它允许用户捕获和分析网络数据包。PCAP文件是Wireshark使用的一种数据格式,用于存储捕获到的网络数据包。PCAP文件格式具体说明了文件的结构和存储方式,以便于其他工具或程序能够正确地解析处理这些文件PCAP文件由全局文件头(Global Header)和数据包头(Packet Header)组成。全局文件头记录了文件的版本信息、网络接口类型等元数据。每个数据包都由数据包头和数据包负载组成。数据包头包含了数据包的时间戳、数据包长度等信息。 要解析PCAP文件,可以借助Wireshark软件本身或者使用编程语言中的相关库,如libpcap或WinPcap。在Java程序中,可以使用WireShark库进行解析,并在后台查看PCAP包的内容。 PCAP文件解析的过程包括读取PCAP文件的全局文件头,然后逐个读取数据包头和数据包负载,以提取所需的信息。例如,可以通过解析数据包头中的时间戳和源/目的IP地址来分析网络流量的来源和目标。 总结起来,Wireshark可以使用PCAP文件解析网络数据包。PCAP文件的结构和格式可以通过参考了解。在Java程序中,可以使用WireShark库进行解析,并在后台查看PCAP包的内容。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* [Wireshark文件pcap的格式详细解析有实例(Global Header、Packet Header)](https://blog.csdn.net/Hollake/article/details/90108950)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] - *3* [借助WireShark解析PCAP包](https://blog.csdn.net/q35222806/article/details/78817811)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值