基于Python3+Scapy的数据包流量特征批量分析工具

置顶 已于 2022-11-06 07:38:59 修改
阅读量1.6k 收藏 28
点赞数 2
分类专栏: 无所不能的Python 文章标签: 运维 python wireshark 网络协议
于 2022-07-17 19:07:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sunbcy/article/details/125831642
版权

基于Python3+Scapy的网络数据包批量分析工具

项目源码

https://github.com/sunbcy/PcapAnalyzer

适用范围以及使用说明

目前该项目由作者独立维护,可以离线批量识别项目根目录下的所有数据包格式文件识别并分析数据包中的HTTP、HTTPS、DNS等协议加密、解密的特征部分主要是域名和请求的信息,不包含回包信息),当然想要识别的话,也可以把我上面的工具clone到本地自己做相应定制的。最后会输出一个TXT文档,包含了解密数据包中HTTP请求的部分以及加密数据包中域名的集合,具体内容都可以修改源代码定制。
本项目的特点:源码结构简单易懂,根据自己需要定制输出,对小白友好,适合网络协议分析学习。

背景

在工作中,一些岗位往往需要分析大量数据包,根据需要提取特征码用以分析。对于一些新手和小白来说,时常感到力不从心,作者在这方面曾经也是小白,感触颇深。当然在离线数据包分析这方面,有Wireshark这个强大的工具。但是实际工作中,作者发现当分析的数据包达到一定数量的时候,人力显的略微有那么点微不足道。这个时候脑子里响起“人生苦短,我用Python”的口号。

环境准备及运行说明

  • ≥Python3.6(本工具下载到本地最好保证Python3.6以上,由于使用了大量的f-string)
  • scapy模块–用于读取数据包
  • scapy_ssl_tls模块–用于分析SSL/TLS部分的协议
  • 运行脚本时确保PC内存尽量大一点(16G比较合适,8G可能有点吃力,数据包越大,分析时间越久,占用内存越多,内存少可能会出现卡顿现象。

常见协议分析识别

根据网络层的proto字段可识别出TCP、UDP等常用协议以及FTP、SSH、IPv4、IPv6、Telnet、SMTP、DHCP、TFTP、POP3、IMAP4等协议。

TCP协议识别

跟Wireshark下的数据流简单对比下,GET和POST的流,显示完美。

  1. 提取HTTP协议信息
    GET
    输出文档中的HTTP/GET示例
    Wireshark中的HTTP/GET对比

    POST
    输出文档中的HTTP/POST示例
    Wireshark中的HTTP/POST对比
    以下几种字段都可以做到相应的匹配。
    PUT
    HEAD
    OPTIONS
    此处HTTP协议类型的数据流还可以进一步细分,本项目当前只支持识别以上字段开头的数据流,其他的字段留给大家自己去定制。

  2. 提取HTTPS协议信息
    主要提取了443端口的Client Hello数据流中的域名信息。
    输出文档中的HTTPS示例

UDP协议识别

  1. 提取DNS协议信息
    主要提取了数据流中的DNS域名请求信息。
    [70]是指数据流编号,后面跟着此数据流的五元组,下面第一行是请求的该DNS域名,第二行是该域名对应的hex字符串,由空格对应上面域名的小数点分隔符,每开头的两个字符代表该段的长度,如:0c表示第一段有12个字符输出文档中的DNS示例

输出TXT文档信息

输出的文档是一个TXT的文档,汇总了上面识别的各个数据流的结果以及下面的域名信息,这些都是作者在反复看Wireshark分析数据包之后很难一下子就汇总的信息。本项目也算是给网络数据包分析带来一个新姿势,可以说开发这个分析工具还是给作者带来了一些方便的,也希望这个项目能方便到大家

SSL NAME

在这里插入图片描述

DNS NAME

在这里插入图片描述

后续

这个项目会继续完善下去,现在存在的问题还是有一些,后面准备用到Django和Flask对本项目进行重构,然后加上数据可视化分析,或许会更直观,也能惠及到更多的网络分析人员!

sunbcy
关注
专栏目录
Scapy 网络数据包构建
悦分享
06-20 2783
Scapy是一个强大的,用Python编写的交互式数据包处理程序,它能让用户发送、嗅探、解析,以及伪造网络报文,从而用来侦测、扫描和向网络发动攻击。Scapy可以轻松地处理扫描(scanning)、路由跟踪(tracerouting)、探测(probing)、单元测试(unit tests)、攻击(attacks)和发现网络(network discorvery)之类的传统任务。它可以代替hping,arpspoof,arp-sk,arping,p0f 甚至是部分的Nmap,tcpdump和tshark 的
扫描器篇(六)之python+scapy组合编写基于UDP协议的端口扫描器,顺带解决UDP协议多线程无响应问题
weixin_44344395的博客
04-18 2618
UDP 端口扫描 要对端口进行扫描需要先了解一下UDP协议的特征 UDP是无连接通信协议,即在数据传输时,数据的发送端和接收端不建立逻辑连接。简单来说,当一台计算机向另外一台计算机发送数据时,发送端不会确认接收端是否存在,就会发出数据,同样接收端在收到数据时,也不会向发送端反馈是否收到数据。 由于使用UDP协议消耗资源小,通信效率高,所以通常都会用于音频、视频和普通数据的...
python流量分析_python 监控流量
weixin_33810114的博客
12-24 3145
Cacti监控Redis实现过程Cacti是一套基于PHP,MySQL,SNMP及RRDTool开发的网络流量监测图形分析工具。被广泛的用于对服务器的运维监控中,Cacti提供了一种插件式的管理,只要按要求写好特定的模板,那么你就可以对任何服务进行流量监控。本文就是要为大家介绍两个模板,分别是MongoDB和Redis的Cact...文章青夜之衫2017-12-12931浏览量Cacti监控Red...
python安装使用教程-Python3+Scapy安装使用教程
weixin_37988176的博客
10-30 548
一、说明之前写DoS程序的时候(见"拒绝服务(DoS)理解、防御与实现"),数据包完全是自己构造的,这其中的难处一是要清楚各层协议的字段、字段长度、字段是数值还是字符、大头还是小头,二是计算校验和。整个过程比较痛苦。其实构造DoS数据包,我们经常只是想伪造一下源IP等少数字段,而事实上大量时间花在其他大多数不想关心的字段的构造上。在查找资料过程中发现很多DoS程序直接使用一个&...
Scapy-SSL/TLS 项目教程
最新发布
gitblog_00900的博客
08-15 694
Scapy-SSL/TLS 项目教程 scapy-ssl_tls SSL/TLS layers for scapy the interactive packet manipulation tool项目地址:https://gitcode.com/gh_mirrors/sc/scapy-ssl_tls 1、项目介绍 Scapy-SSL/TLS 是一个开源项目,旨在为 Scapy(一个交互式数据包操...
Python绝技:运用Python成为顶级黑客》 用Python分析网络流量
weixin_30553777的博客
05-28 2571
1、IP流量将何去何从?——用Python回答: 使用PyGeoIP关联IP地址和物理地址: 需要下载安装pygeoip,可以pip install pygeoip 或者到Github上下载安装https://github.com/appliedsec/pygeoip 同时需要下载用pygeoip操作的GeoLiteCity数据库来解压获得GeoLiteCity.dat数据库文件: ...
Python数据特征分析
weixin_30369041的博客
06-24 670
二 数据特征分析 完成对数据的质量分析后,剩下的数据就可以绘制表图 计算了某些特征量 等手段进行数据的特征分析 分布分析 揭示数据的分布特征和分布类型 定量数据:分析分布是对称,发现某些特征值的大小和可疑值,频率分布表、频率分布直方图、茎叶图 定性数据:饼图、条形图 1.定量分析数据 原则: 各组之间相互排斥 所有数据必须包含 组宽最好相...
Python 流量分析
xlsj雪松的博客
05-28 2318
小白菜一棵,进修视频学习中! 1 ARP流量监控 ARP攻击,使目标主机无法与外界通信: 攻击主机制造假的arp应答,并发送给局域网中除被攻击之外的所有主机。arp应答中包含被 攻击主机的IP地址和虚假的MAC地址。 攻击主机制造假的arp应答,并发送给被攻击的主机,arp应答中包含除被攻击攻击主机之外的所有主机的IP地址和虚假的MAC地址。 ARP欺骗攻击,充当中间人,获取中间流量的信息: 以太网设备(比如网卡)都有自己全球唯一的MAC地址,它们是以MAC地址来传输以太网数据包的,但是以太网..
python3安装scapy库_PythonScapy 3
weixin_39789646的博客
12-05 424
1、Scapy库用于DNS查询使用Scapy,最重要的是熟悉每种协议的报文结构,以下是构造DNS报文,进行针对“www.baidu.com”的DNS查询from scapy.all import *p=DNS(rd=1, qd=DNSQR(qname='www.baidu.com'))sr(IP(dst='输入DNS服务器IP地址')/UDP(dport=53)/p)ans, unans=_if ...
python分析数据包_Python解析pcap数据包
weixin_39705435的博客
11-27 1600
Post Views:29,789零、前言历时数月,终于结束了考研初试,Blog也很长时间没有更新了,期间还是有些小伙伴来Blog看文章很是感动。以后一定会坚持更新,尽量给大家推送一些干货。这次发的是Python解析pcap数据包的脚本,其实用wireshark就能解决大部分的数据包分析问题了,但有时候会遇到分析大量数据包或从大量数据包中提取某个信息的需求,这时用wireshark一个一个的打开就...
scapy-python3-0.14
12-11
总之,`scapy-python3-0.14`是一个强大的网络工具,它为Python 3用户提供了一个全面的框架,用于网络数据包的生成、分析和交互。无论你是网络工程师、安全研究员还是对网络技术感兴趣的开发者,Scapy都能成为你的...
利用python+scapy抓取DNS数据包
01-04
程序只会抓取DNS数据包。不会去抓取其他类型的数据包
python解析发往本机的数据包示例 (解析数据包)
12-23
tcp.py 复制代码 代码如下:# -*- coding: cp936 -*-import socketfrom struct import *from time import ctime,sleepfrom os import system system(‘title tcp sniffer’)system(‘color 05’) # the public network interfaceHOST = socket.gethostbyname(socket.gethostname()) # create a raw socket and bind it to the public int
利用PythonScapy解析pcap文件的方法
09-19
今天小编就为大家分享一篇利用PythonScapy解析pcap文件的方法,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
python抓取数据包_python数据包
weixin_39687621的博客
11-29 1728
广告关闭腾讯云11.11云上盛惠 ,精选热门产品助力上云,云服务器首年88元起,买的越多返的越多,最高返5000元!前言:数据科学越来越火了,网页是数据很大的一个来源。 最近很多人问怎么抓网页数据,据我所知,常见的编程语言(c++,java,python)都可以实现抓网页数据,甚至很多统计计算的语言(r,matlab)都有可以实现和网站交互的包。 本人试过用java,python,r抓网页,感觉语...
python 3 安装scrapy(详细教程)
亦在春风的博客
05-18 1907
由于在下想要安装scrapy,本以为就是在DOS窗口使用pip install scrapy就可以了,万万没想到下载失败,网上找了很多教程大部分都是一个人哪里抠来的,很多都不对,走了很多弯路,现在我亲自实验了一下决定记录下来安装过程,我介绍的是pip安装方式 @TOC 安装过程 下载对应版本的Twisted 因为Scrapy框架基于Twisted,所以要先去网站下载Twisted的安装文件,先把它们装上 查看自己python版本 所以我就下载对应3.9.9的Twisted 64位 下载地址: ht
python3安装scapy_Python3+Scapy安装使用教程
weixin_39640773的博客
11-20 342
原博文2019-03-08 16:57 −一、说明 之前写DoS程序的时候(见"拒绝服务(DoS)理解、防御与实现"),数据包完全是自己构造的,这其中的难处一是要清楚各层协议的字段、字段长度、字段是数值还是字符、大头还是小头,二是计算校验和。整个过程比较痛苦。 其实构造DoS数据包,我们经常只是想伪造一下源IP等少数字段,而事实上大量时间花...010560相关推荐2018-02-09 15:48...
python|使用Scapy分析流量
S4n_v1的博客
05-11 3755
抓包分析其中 ICMP 包的数量与比例。
Python3安装Scrapy
jia666666的博客
08-31 444
准备 运行平台:Windows 7 Python版本:Python3.6.5 IDE:pycharm 一、Scrapy简介 Scrapy是一个为了爬取网站数据提取结构性数据而编写的应用框架,可以应用于数据挖掘,信息处理或存储历史数据等一些列的程序中。Scrapy最初就是为了网络爬取而设计的。现在,Scrapy已经推出了曾承诺过的Python3.x版本。 为什么学习Sc...
基于python+scapy设计协议编辑器
07-28
基于PythonScapy是一个功能强大的网络数据包操作库,它可以用来创建、发送、捕获和分析网络数据包。通过使用Scapy,我们可以很方便地设计一个协议编辑器。 协议编辑器是一种用于创建、编辑和分析特定协议的工具。它通常用于开发和测试网络协议,以确保其可靠性和安全性。 基于Scapy的协议编辑器可以实现以下功能: 1. 协议定义:使用Scapy的Packet类,可以轻松定义特定协议的数据包结构。我们可以按照协议规范定义数据包的各个字段、类型和长度等。 2. 数据包编辑:通过使用Scapy的功能,可以对数据包的各个字段进行编辑。我们可以修改数据包的源地址、目的地址、协议版本等。 3. 数据包生成:利用Scapy的Packet类,可以方便地生成符合自定义协议的数据包。只需编写相应的代码,设置字段值,并使用Scapy提供的函数将数据包发送到网络上。 4. 数据包捕获:利用Scapy的sniff函数,可以捕获并分析网络中的数据包。我们可以根据自己的需求设置过滤条件,只捕获符合协议规范的数据包。 5. 数据包分析:通过Scapy强大的分析功能,可以对捕获到的数据包进行深入分析。我们可以查看数据包的各个字段、数据长度、校验和等信息,以及协议中定义的特定值。 总之,基于PythonScapy可以作为一个强大的工具,帮助我们设计、创建和测试各种网络协议。通过使用Scapy,我们可以方便地定义协议的数据包结构,编辑和生成符合协议的数据包,以及对网络数据包进行捕获和分析
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

sunbcy

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值