Python复现Wireshark中Payload的字符串显示函数

已于 2022-10-12 12:22:56 修改
阅读量767 收藏
点赞数 1
分类专栏: 无所不能的Python 文章标签: python wireshark 开发语言 网络
于 2022-07-10 14:32:06 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sunbcy/article/details/125701584
版权

Wireshark Payload显示函数探索

Github地址

https://github.com/sunbcy/Wireshark_Hex_String_Display

背景

由于工作的原因需要看大量的数据包,一开始还行,随着数量越来越多,人越来越疲惫,感到人力分析有限,很多时候需要反复翻看数据包定位问题,然而往往耗费大量时间。人生苦短,想到可不可以用Python来做下数据包的相关分析。于是开启Bing大法,看了些帖子后发现有Scapy网络安全分析库,可以用来读取分析数据包(看起来很有搞头!!!经过一番尝试,确实算是发现了一块新大陆,可以鼓捣鼓捣,弄个小工具出来。实际这个模块的功能很全,应用很广,不止于数据包分析。也能构造以及修改数据包相关信息,这些内容以后有空可以多撰几篇帖子)。

环境准备

  1. 需要安装scapy模块,这个很easy,一般能无视地形安装成功:
pip2 install scapy
pip3 install scapy

from scapy.all import *
  1. 看帖子的过程中发现,如果是分析HTTPS/SSL的流,需要安装另一个模块scapy_ssl_tls,这个模块的安装似乎有点费劲,在不同系统不同Python版本下安装方式有差异,直接使用pip可能会报错。作者一开始安装的是scapy-2.4.5和scapy_ssl_tls-2.0.0。在Windows系统python2环境下运行的,后来作者一番尝试,发现python3下这两个模块也能安装上去。本篇在此不过多讲该模块的安装,后面有空在补充帖文。
from scapy_ssl_tls.ssl_tls import *

主题

本篇的主题是探讨Wireshark中Payload的字符串显示函数在Python语言中的复现,此处我的环境以Windows下的Python3为主。

先来看看,关于Wireshark中Payload的字符串显示效果是怎样的:
在这里插入图片描述

左边是平平无奇的Hex字符串,右边是部分解码的可视化的字符串。
我们今天的目的就是在Python3环境下,已知左边部分的字符串,解码出右边的字符串。
那么 肉眼观察下右边的字符串可以发现几乎都是Ascii码(0~127)中可视的字符串:
在这里插入图片描述

那么问题就简单了,对hex字符做判断,如果在ASCii的可视化范围内(0x20~0x7e)就用一下urllib.parse.unquote解码,如果不是,就用"."英文逗号来代替。

我们准备的字符串,就是上面左边红框区域内的string:

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

代码生成的效果:
在这里插入图片描述

sunbcy
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
scapy-ssl_tls-1.2.3.4.zip
04-11
使用python来解析加密数据包,可通过pycharm安装Scapy-ssl_tls库文件,但库文件经常会安装失败,因此需要考虑直接安装python对应版本的Scapy-ssl_tls库文件
delphi socket 怎样把接收到的二进制数据转换成字符串显示_Wireshark抓包原理(ARP劫持、MAC泛洪)及数据流追踪和图像抓取...
weixin_39953102的博客
11-24 651
一、Wireshark抓包原理(一)网络抓包原理网络不论传输什么,最终通过物理介质发送的都是二进制,类似于0101的Bit流。纯文本(字符串)文通常采用UTF-8编码,英文用ASCII编码;非纯文本音频、视频、图片、压缩包等按不同编码封装好,转换成二进制传输。在IP网络,通过Wireshark抓包,获取的原始数据都是二进制。哪种网络情况下能够抓取到包呢?下面结合网络原理讲解。网络抓包主要存在...
分析wireshark无法正确显示字符的原因
村中少年的专栏
04-22 1万+
分析wireshark无法正确显示字符的原因
python处理wireshark抓取的pcap数据包
freeze_cold的博客
03-13 1141
【代码】python处理wireshark抓取的pcap数据包。
通过wirshark抓包处理TCP流并还原文件
qq_63568472的博客
10-21 2661
想要完成这个实验,我们首先先下载wirshark和winhex这两个软件。Wireshark的功能上来看,只是监听网络流量信息并完整的记录下来,起到还原现场的作用。Winhex是一款非常优秀的16进制收费的编辑器。大家可以直接到官网下载。 做实验之前得确保你的手机和电脑到都连到同一个子网,并在电脑上登录QQ,然后打开wirshark,本次实验我们连的的是校园网,所以我们选择WLAN。 在"应用显示过滤器"输入ip.src==热点的IP地址,针对wireshark最常用的自然是针对IP地址的
wireshark使用及数据包文件恢复
hapenl的博客
11-18 3619
网络数据包分析wireshark是一款非常好用的工具,它清晰描述了TCP的三次握手以及四次挥手的过程,同时提供详细的协议层的数据分析有助于在做数据包分析更加了解底层结构。以此同时HEX数据不便于文件内容的分析,可借助于01Editer进行数据文件的恢复
如何使用wireShark的追踪流功能抓取并还原文件
new9232的博客
05-27 2763
使用wireShark的追踪流功能来抓取和还原从网页上下载的各种文件
使用PYTHON解析Wireshark的PCAP文件方法
09-19
今天小编就为大家分享一篇使用PYTHON解析Wireshark的PCAP文件方法,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
Python wireshark抓包及分析.docx
最新发布
04-29
wireshark抓包及分析
Python-Android通过wireshark实时抓包
08-10
使用tcpdump 和wireshark进行Android(root过后)设备的实时抓包
sslkeylog:记录SSLTLS密钥以解密Python建立的SSLTLS连接
05-21
这是SSLKEYLOGFILE工具的实现,可在Firefox和Chromium / Google Chrome使用,Wireshark支持此工具,即使您没有私钥,或使用会交换私钥的方法来解密SSL / TLS连接,即使您这样做也要防止解密(例如Diffie-Hellman...
wireshark官方文档第 8 章数据包捕获
死胖子的博客
10-25 676
第 8 章数据包捕获 本章需要复审和扩展。 8.1.如何向Libpcap 添加新的捕获类型 在本次讨论,我假设您使用的是 libpcap1.0 或更高版本。您可能不想使用早于1.0 的版本,即使您使用的任何操作系统恰好包含libpcap - 旧版本对于添加对标准网络接口以外的设备的支持并不友好。 首先,阅读《有关编写新 libpcap 模块的 libpcap 文档》(libpcap/README.capture-module at master · the-tcpdump-group/lib.
scapy TLS/SSL 流量数据操作
uno的博客
05-22 4952
scapy TLS/SSL 流量数据操作 本文仅接上文介绍如何使用 Python scapy 从pcap数据包提取TLS/SSL数据包的基本信息,例如SNI等。 参考:https://scapy.readthedocs.io/en/latest/api/scapy.layers.tls.html 前言 scapy 能够从pcap包提取出数据包对象,可以直接通过pkt.show()输出显示数据包内容,对一个TLS(client hello)数据包的显示如下图: 代码: from scapy.all im
Wireshark 实用篇2:Wireshark 抓包常用过滤命令
热门推荐
liuzhen007的专栏
12-25 2万+
使用 Wireshark 工具进行网络抓包属于研发人员的基础技能,如果你还不了解,建议从现在开始学习和掌握一些基础的使用方法。今天就来先了解一下 Wireshark 常用的抓包过滤命令。
wireshark使用
Tech——never end
03-25 1462
wireshark如何解析指定 的payload 实际测试经常遇到此类问题,抓取的报文码流并不是从链路层开始,而是一些载荷协议或者从IP、TCP等开始,这个时候如何想要wireshark直接解析码流,就需要构造伪头部拼成完整报文结构。那有没有不需要这么麻烦,而是直接就可以导入码流进行解析呢,答案是肯定的。 对于常见的场景,比如抓取的IP包或者TCP包,我们可以使用Wireskark: 文件 ---- > 从HEX转储文件导入 这里就可以选择不同的类型,然后导入即可。 但是这里提供的仅仅是常见.
scapy-ssl_tls手动安装
qq_49189301的博客
04-05 271
手动安装scapy_ssl-tls
基于Python3+Scapy的数据包流量特征批量分析工具
sunbcy的博客
07-17 1488
基于Python3+Scapy的网络数据包批量分析工具
基于Python3的scapy解析SSL报文(一)
ftzchina的博客
11-17 2068
scapy对于SSL的支持个人觉得不太好,至少在构造报文方面没有HTTP或者DNS这种常见的报文有效方便,但是scapy对于SSL的解析还是可以的。下面我们以一个典型的HTTPS的报文为例,展示scapy解析SSL报文。
wireshark 十六进制 查看_十六进制查看器为什么很多.号
weixin_30707165的博客
12-23 704
我们用十六进制查看器打开一个可执行程序,如下图:最左边的00000000表示文件的相对地址,其后的h表示该地址为十六进制表示方式;间的每行是文件的十六字节内容,在磁盘上最终当然是二进制,这里用十六进制给出;分号之后的部分是相应应十六进制,按ASCII码翻译成的字符。那为什么翻译出的部分大多是.号呢?首先一个原因是在ASCII表,只有20-7E是有对应可显示字符,其他编码并没有对应可显示字符,...
wireshark查询字符串
09-05
Wireshark查询字符串的方法是使用"查找"功能。你可以在Wireshark的界面上找到一个搜索框。在这个搜索框,你可以输入你想要查找的字符串Wireshark会自动搜索并显示包含该字符串的数据包。你可以在"Packet ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

sunbcy

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值