Network学习8_Java之Pcap文件解析(三:解析文件)

最新推荐文章于 2024-04-16 15:39:05 发布
最新推荐文章于 2024-04-16 15:39:05 发布
阅读量2k 收藏 6
点赞数 1
分类专栏: —Network 转载 文章标签: 网络

前言

数据结构已经定义好了,那么现在就开始正式解析Pcap文件了。 
注:以下仅贴出核心代码,项目全部代码会在文章结尾处给出下载链接

解析Pcap文件

1 读取整个Pcap文件到内存

FileInputStream fis = null;
    try {
        fis = new FileInputStream(pcap);
        int m = fis.read(file_header);
        //....
    } catch // .....

2 读取文件头

/**
     * 读取 pcap 文件头
     */
    public PcapFileHeader parseFileHeader(byte[] file_header) throws IOException {
        PcapFileHeader fileHeader = new PcapFileHeader();
        byte[] buff_4 = new byte[4];    // 4 字节的数组
        byte[] buff_2 = new byte[2];    // 2 字节的数组

        int offset = 0;
        for (int i = 0; i < 4; i ++) {
            buff_4[i] = file_header[i + offset];
        }
        offset += 4;
        int magic = DataUtils.byteArrayToInt(buff_4);
        fileHeader.setMagic(magic);

        for (int i = 0; i < 2; i ++) {
            buff_2[i] = file_header[i + offset];
        }
        offset += 2;
        short magorVersion = DataUtils.byteArrayToShort(buff_2);
        fileHeader.setMagorVersion(magorVersion);

        for (int i = 0; i < 2; i ++) {
            buff_2[i] = file_header[i + offset];
        }
        offset += 2;
        short minorVersion = DataUtils.byteArrayToShort(buff_2);
        fileHeader.setMinorVersion(minorVersion);

        for (int i = 0; i < 4; i ++) {
            buff_4[i] = file_header[i + offset];
        }
        offset += 4;
        int timezone = DataUtils.byteArrayToInt(buff_4);
        fileHeader.setTimezone(timezone);

        for (int i = 0; i < 4; i ++) {
            buff_4[i] = file_header[i + offset];
        }
        offset += 4;
        int sigflags = DataUtils.byteArrayToInt(buff_4);
        fileHeader.setSigflags(sigflags);

        for (int i = 0; i < 4; i ++) {
            buff_4[i] = file_header[i + offset];
        }
        offset += 4;
        int snaplen = DataUtils.byteArrayToInt(buff_4);
        fileHeader.setSnaplen(snaplen);

        for (int i = 0; i < 4; i ++) {
            buff_4[i] = file_header[i + offset];
        }
        offset += 4;
        int linktype = DataUtils.byteArrayToInt(buff_4);
        fileHeader.setLinktype(linktype);

//      LogUtils.printObjInfo(fileHeader);

        return fileHeader;
    }

3 读取数据头

/**
     * 读取数据包头
     */
    public PcapDataHeader parseDataHeader(byte[] data_header){
        byte[] buff_4 = new byte[4];
        PcapDataHeader dataHeader = new PcapDataHeader();
        int offset = 0;
        for (int i = 0; i < 4; i ++) {
            buff_4[i] = data_header[i + offset];
        }
        offset += 4;
        int timeS = DataUtils.byteArrayToInt(buff_4);
        dataHeader.setTimeS(timeS);

        for (int i = 0; i < 4; i ++) {
            buff_4[i] = data_header[i + offset];
        }
        offset += 4;
        int timeMs = DataUtils.byteArrayToInt(buff_4);
        dataHeader.setTimeMs(timeMs);

        for (int i = 0; i < 4; i ++) {
            buff_4[i] = data_header[i + offset];
        }
        offset += 4;
        // 得先逆序在转为 int
        DataUtils.reverseByteArray(buff_4);
        int caplen = DataUtils.byteArrayToInt(buff_4);
        dataHeader.setCaplen(caplen);
//      LogUtils.printObj("数据包实际长度", dataHeader.getCaplen());

        for (int i = 0; i < 4; i ++) {
            buff_4[i] = data_header[i + offset];
        }
        offset += 4;
        //      int len = DataUtils.byteArrayToInt(buff_4);
        DataUtils.reverseByteArray(buff_4);
        int len = DataUtils.byteArrayToInt(buff_4);
        dataHeader.setLen(len);

//      LogUtils.printObjInfo(dataHeader);

        return dataHeader;
    }

读取数据头后,我们将整个数据存入 content 字节数组中,方便以后的解析

private byte[] content;
content = new byte[dataHeader.getCaplen()];

4 读取数据帧

数据帧数据对我们没啥用,不做过多解析

/**
     * 读取 Pcap 数据帧
     * @param fis
     */
    public void readPcapDataFrame(byte[] content) {
        PcapDataFrame dataFrame = new PcapDataFrame();
        int offset = 12;
        byte[] buff_2 = new byte[2];
        for (int i = 0; i < 2; i ++) {
            buff_2[i] = content[i + offset];
        }
        short frameType = DataUtils.byteArrayToShort(buff_2);
        dataFrame.setFrameType(frameType);

//      LogUtils.printObjInfo(dataFrame);
    }

5 读取IP头

private IPHeader readIPHeader(byte[] content) {
        int offset = 14;
        IPHeader ip = new IPHeader();

        byte[] buff_2 = new byte[2];
        byte[] buff_4 = new byte[4];

        byte varHLen = content[offset ++];              // offset = 15
//      LogUtils.printByteToBinaryStr("varHLen", varHLen);
        if (varHLen == 0) {
            return null;
        }

        ip.setVarHLen(varHLen);

        byte tos = content[offset ++];                  // offset = 16
        ip.setTos(tos);

        for (int i = 0; i < 2; i ++) {      
            buff_2[i] = content[i + offset];
        }
        offset += 2;                                    // offset = 18
        short totalLen = DataUtils.byteArrayToShort(buff_2);
        ip.setTotalLen(totalLen);

        for (int i = 0; i < 2; i ++) {          
            buff_2[i] = content[i + offset];
        }
        offset += 2;                                    // offset = 20
        short id = DataUtils.byteArrayToShort(buff_2);
        ip.setId(id);

        for (int i = 0; i < 2; i ++) {                  
            buff_2[i] = content[i + offset];
        }
        offset += 2;                                    // offset = 22
        short flagSegment = DataUtils.byteArrayToShort(buff_2);
        ip.setFlagSegment(flagSegment);

        byte ttl = content[offset ++];                  // offset = 23
        ip.setTtl(ttl);

        byte protocol = content[offset ++];             // offset = 24
        ip.setProtocol(protocol);

        for (int i = 0; i < 2; i ++) {                  
            buff_2[i] = content[i + offset];
        }
        offset += 2;                                    // offset = 26
        short checkSum = DataUtils.byteArrayToShort(buff_2);
        ip.setCheckSum(checkSum);

        for (int i = 0; i < 4; i ++) {                  
            buff_4[i] = content[i + offset];
        }
        offset += 4;                                    // offset = 30
        int srcIP = DataUtils.byteArrayToInt(buff_4);
        ip.setSrcIP(srcIP);

        // 拼接出 SourceIP
        StringBuilder builder = new StringBuilder();
        for (int i = 0; i < 4; i++) {
            builder.append((int) (buff_4[i] & 0xff));
            builder.append(".");
        }
        builder.deleteCharAt(builder.length() - 1);
        String sourceIP = builder.toString();
        protocolData.setSrcIP(sourceIP);

        for (int i = 0; i < 4; i ++) {      
            buff_4[i] = content[i + offset];
        }
        offset += 4;                                    // offset = 34
        int dstIP = DataUtils.byteArrayToInt(buff_4);
        ip.setDstIP(dstIP);

        // 拼接出 DestinationIP
        builder = new StringBuilder();
        for (int i = 0; i < 4; i++) {
            builder.append((int) (buff_4[i] & 0xff));
            builder.append(".");
        }
        builder.deleteCharAt(builder.length() - 1);
        String destinationIP = builder.toString();
        protocolData.setDesIP(destinationIP);

//      LogUtils.printObjInfo(ip);

        return ip;
    }

6 读取TCP头

private TCPHeader readTCPHeader(byte[] content2, int offset) {
        byte[] buff_2 = new byte[2];
        byte[] buff_4 = new byte[4];

        TCPHeader tcp = new TCPHeader();

        for (int i = 0; i < 2; i ++) {
            buff_2[i] = content[i + offset];
//          LogUtils.printByteToBinaryStr("TCP: buff_2[" + i + "]", buff_2[i]);
        }
        offset += 2;                                    // offset = 36
        short srcPort = DataUtils.byteArrayToShort(buff_2);
        tcp.setSrcPort(srcPort);

        String sourcePort = validateData(srcPort);
        protocolData.setSrcPort(sourcePort);

        for (int i = 0; i < 2; i ++) {
            buff_2[i] = content[i + offset];
        }
        offset += 2;                                    // offset = 38
        short dstPort = DataUtils.byteArrayToShort(buff_2);
        tcp.setDstPort(dstPort);

        String desPort = validateData(dstPort);
        protocolData.setDesPort(desPort);

        for (int i = 0; i < 4; i ++) {
            buff_4[i] = content[i + offset];
        }
        offset += 4;                                    // offset = 42
        int seqNum = DataUtils.byteArrayToInt(buff_4);
        tcp.setSeqNum(seqNum);

        for (int i = 0; i < 4; i ++) {
            buff_4[i] = content[i + offset];
        }
        offset += 4;                                    // offset = 46
        int ackNum = DataUtils.byteArrayToInt(buff_4);
        tcp.setAckNum(ackNum);

        byte headerLen = content[offset ++];            // offset = 47
        tcp.setHeaderLen(headerLen);

        byte flags = content[offset ++];                // offset = 48
        tcp.setFlags(flags);

        for (int i = 0; i < 2; i ++) {
            buff_2[i] = content[i + offset];
        }
        offset += 2;                                    // offset = 50
        short window = DataUtils.byteArrayToShort(buff_2);
        tcp.setWindow(window);

        for (int i = 0; i < 2; i ++) {
            buff_2[i] = content[i + offset];
        }
        offset += 2;                                    // offset = 52
        short checkSum = DataUtils.byteArrayToShort(buff_2);
        tcp.setCheckSum(checkSum);

        for (int i = 0; i < 2; i ++) {
            buff_2[i] = content[i + offset];
        }
        offset += 2;                                    // offset = 54
        short urgentPointer = DataUtils.byteArrayToShort(buff_2);
        tcp.setUrgentPointer(urgentPointer);

//      LogUtils.printObj("tcp.offset", offset);
        data_offset = offset;
//      LogUtils.printObjInfo(tcp);

        return tcp;
    }

7 读取UDP头

private UDPHeader readUDPHeader(byte[] content, int offset) {
        byte[] buff_2 = new byte[2];

        UDPHeader udp = new UDPHeader();
        for (int i = 0; i < 2; i ++) {
            buff_2[i] = content[i + offset];
//          LogUtils.printByteToBinaryStr("UDP: buff_2[" + i + "]", buff_2[i]);
        }
        offset += 2;                                    // offset = 36
        short srcPort = DataUtils.byteArrayToShort(buff_2);
        udp.setSrcPort(srcPort);

        String sourcePort = validateData(srcPort);
        protocolData.setSrcPort(sourcePort);

        for (int i = 0; i < 2; i ++) {
            buff_2[i] = content[i + offset];
        }
        offset += 2;                                    // offset = 38
        short dstPort = DataUtils.byteArrayToShort(buff_2);
        udp.setDstPort(dstPort);

        String desPort = validateData(dstPort);
        protocolData.setDesPort(desPort);

        for (int i = 0; i < 2; i ++) {
            buff_2[i] = content[i + offset];
        }
        offset += 2;                                    // offset = 40
        short length = DataUtils.byteArrayToShort(buff_2);
        udp.setLength(length);

        for (int i = 0; i < 2; i ++) {
            buff_2[i] = content[i + offset];
        }
        offset += 2;                                    // offset = 42
        short checkSum = DataUtils.byteArrayToShort(buff_2);
        udp.setCheckSum(checkSum);

//      LogUtils.printObj("udp.offset", offset );
//      LogUtils.printObjInfo(udp);
        data_offset = offset;

        return udp;
    }

创建文件

解析完毕后,就得将数据写入文件了

/**
     * 创建文件
     * @param protocolData
     */
    public void createFiles(ProtocolData protocolData) {
        String protocol = "TCP";
        String suffix = ".pcap";
        if (protocolData.getProtocolType() == ProtocolType.UDP) {
            protocol = "UDP";
        }  else if (protocolData.getProtocolType() == ProtocolType.OTHER) {
            return;
        }
        String filename = protocol + "[" + protocolData.getSrcIP() + "]"
                                   + "[" + protocolData.getSrcPort() + "]"
                                   + "[" + protocolData.getDesIP() + "]"
                                   + "[" + protocolData.getDesPort() + "]";

        String reverseFilename = protocol + "[" + protocolData.getDesIP() + "]"
                                          + "[" + protocolData.getDesPort() + "]"
                                          + "[" + protocolData.getSrcIP() + "]"
                                          + "[" + protocolData.getSrcPort() + "]";
        boolean isReverse = false;

        boolean append = false;
        // 判断是否已经包含该五元组
        if (filenames.contains(filename)) {
            append = true;
//          LogUtils.printObj(filename + "已存在...");
        } else {
            append = false;
//          LogUtils.printObj(filename + "不存在...");

            // 将源IP、源Port和目的IP、目的Port 调换顺序,查看该文件是否存在,若存在,则追加
            if (filenames.contains(reverseFilename)) {
                append = true;
                isReverse = true;
                filename = reverseFilename;
//              LogUtils.printObj("rf: " + reverseFilename + "已存在...");
            } else {
                filenames.add(filename);
            }

        }

        filename = DataUtils.validateFilename(filename);
        String pathname = savePath + "\\" + protocol + "\\" + filename + suffix;

        /*
         * 数据负载信息
         */
        int data_size = content.length - data_offset;
//      LogUtils.printObj("数据负载长", data_size);
        data_content = new byte[data_size];
        for (int i = 0; i < data_size; i ++) {
            data_content[i] = content[i + data_offset];
        }
        String pathname_data = savePath + "\\" + protocol + "\\数据负载提取结果\\" + filename + ".pcap.txt";

        try {
            File file = new File(pathname);
            FileOutputStream fos = new FileOutputStream(file, append);

            File data_file = new File(pathname_data);
            FileOutputStream fos_data = new FileOutputStream(data_file, append);

            if (!append) {  // 若 append 为 true,表明文件已经存在,追加
                // 1. 写入文件头
                fos.write(file_header);

                String[] data = new String[2];
                data[0] = filename;
                data[1] = pathname;
                datas.add(data);
                super.setChanged();                             // 通知观察者
                super.notifyObservers(datas);                   // 传递数据给观察者

                // 不存在,则说明该记录尚未添加
                String logPath = savePath + "\\" + protocol + "\\" + protocol + ".txt";
                FileUtils.writeLineToFile(filename, new File(logPath), true);
            }

            // 2. 写入 Pcap 数据头
//          LogUtils.printObj("data_header.length", data_header.length);
            fos.write(data_header);
            // 3. 写入数据
//          LogUtils.printObj("content.length", content.length);
            fos.write(content);

            // 写入数据负载信息
            fos_data.write(data_content);

            // 4. 关闭流
            FileUtils.closeStream(null, fos);
            FileUtils.closeStream(null, fos_data);

        } catch (FileNotFoundException e) {
            e.printStackTrace();
        } catch (IOException e) {
            e.printStackTrace();
        } 

    }

项目代码下载PcapAnalyzer 

原文来自:http://blog.csdn.net/gulu_gulu_jp/article/details/50495285
Wang_Zhenwei
关注
  • 1
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
JavaPcap文件解析(解析文件)
GuLu_GuLu_jp的专栏
01-11 1万+
前言 数据结构已经定义好了,那么现在就开始正式解析Pcap文件了。 注:以下仅贴出核心代码,项目全部代码会在文章结尾处给出下载链接 解析Pcap文件 1 读取整个Pcap文件到内存 FileInputStream fis = null; try { fis = new FileInputStream(pcap); int m = fis...
Java 解析Pcap文件(1)
qq_41512783的博客
03-11 3465
Java 解析Pcap文件(1) @author:Jingdai @date:2021.03.11 由于毕业实验是关于TLS流量分析的,所以最近学习了一下Pcap文件解析,现记录一下。 Pcap文件结构 如果所示,Pcap文件由一个Global Header后面接着若干组Packet Header 和 Packet Data 组成。 先看一下 Global Header 的结构,它由 24B 组成,字段按照Pcap文件的顺序列出。 magic,占4B,如果它的值是0xa1b2c3d4,代表 Pc
java解析Pcap文件获取五元组(可执行)
07-13
java解析Pcap文件获取五元组(可运行)
java解析Pcap(io.pkts)
不忘初心的专栏
10-26 8332
目前解析Pcap的第方库有Pcap4j、JnetPcap等,这两个库需要调用Native代码,window下运行需要dll文件,linux下需要so包,跨平台特性不是很好,现在推荐使用io.pkts来解析Pcap网络报文,纯java代码就可以实现,使用起来非常方便,跨平台特性非常好。 下面简单介绍下如何使用: 1、新建Gradle工程,在build.gradle文件增加下面依赖 /
Network学习6_JavaPcap文件解析(一:Pcap格式分析)
wang_zhenwei的博客
08-23 1782
前言 需求 本系列文章主要完成以下功能:  1. 对Pcap文件进行解析,并从中提取TCP和UDP会话  2. 从TCP会话中提取出其数据负载信息 软件最终结果 [主界面]    [File 菜单]    [Help 的 About 菜单项,版权声明]    [选择Pcap文件]    [选择输出目录]    [正在解析]    [解析测试1:对
Java 解析Pcap文件(2)
qq_41512783的博客
03-11 1436
Java 解析Pcap文件(2) @author:Jingdai @date:2021.03.11 前面介绍了Pcap文件的结构并对Pcap文件的 Global Header 和 Packet Header进行了解析,接下来就是对Packet Data 即数据链路层的帧进行解析了。 数据链路层解析 Pcap包的Packet Data就是数据链路层的帧,可以根据前面的Packet Header 中的 capLen 字段知道对应的Packet Data 数据的字节数,从而进行读取。这里仅仅以以太网的帧为例进
java 生成.pcap_java抓包后对pcap文件解析示例
weixin_35589827的博客
03-07 889
这是自己写的简单的解析pcap文件,方便读取pcap文件,大家参考使用吧复制代码 代码如下:InputStream is = DataParser.class.getClassLoader().getResourceAsStream("baidu_cdr.pcap");Pcap pcap = PcapParser.unpack(is);is.close();byte[] t = pcap.getD...
PcapViz-master.zip_graphic_pcap_pcapviz_zip
09-24
深入研究PcapViz,你可能会发现它可能使用了各种编程语言(如Python、C++或Java)来实现,利用了libpcap库进行数据包捕获和解析。此外,它可能还结合了数据可视化库(如matplotlib、D3.js或Graphviz)来生成网络地图...
java解析pcap文件五元组信息
07-01
Java可以利用第方库Jpcap解析pcap文件的五元组信息。在使用Jpcap之前,需要先下载和安装Jpcap库。 首先,我们需要创建一个能够读取pcap文件的Capture对象。代码如下: `Capture capture = new Capture();` ...
java pcap4j http_使用Pcap4j实现一个抓包工具
weixin_39943202的博客
02-16 691
Troubleshooting是我平时工作中的重要内容,我几乎每天都会花一些时间在定位客户环境的问题上,有很多的问题都需要通过抓包来协助分析,比如定位SSL handshake失败,SNMP请求没响应的问题等。Linux平台一般使用tcpdump抓包,由于我们只能通过远程脚本调用的方式执行,所以对windows我没法使用wireshark之类的GUI工具,所以一般用netsh( 参考资料3)进行抓...
java抓包后对pcap文件解析示例
09-04
主要介绍了java抓包后对pcap文件解析示例,需要的朋友可以参考下
解析cap文件
09-03
解析cap
java调用pcap的jpcap
05-16
jpcap链接库(SDK)打包下载 jpcapjava下调用pcap的一个链接库
CAP文件解析
10-30
java中对.cap文件解析。前提需要一个JCDK的工具包。在oracle官网中可以下载,搜索java card。我用的是:JCDK3.0.4_ClassicEdition。在bin中的scriptgen.bat中需要改动set JAVA_HOME=jdk的地址,我用1.6jdk的。然后在下面有%JAVA_HOME%也需要修改为:\bin\java。例子:"%JAVA_HOME%\bin\java" -Djc.home=%JC_CLASSIC_HOME% -classpath %JC_CLASSPATH% com.sun.javacard.scriptgen.Main %*。 在CMD也能运行,先到scriptgen.bat D:/XXX.cap 就可以了
pcap文件解析,并且按照五元组分类
06-14
pcap文件解析,并按照五元组分包,全部用java语言实现。
java pcap4j http_使用pcap4j进行抓包
weixin_42105816的博客
02-13 1371
Troubleshooting是我平时工作中的重要内容,我几乎每天都会花一些时间在定位客户环境的问题上,有很多的问题都需要通过抓包来协助分析,比如定位SSL handshake失败,SNMP请求没响应的问题等。Linux平台一般使用tcpdump抓包,由于我们只能通过远程脚本调用的方式执行,所以对windows我没法使用wireshark之类的GUI工具,所以一般用netsh( 参考资料3)进行抓...
JavaPcap文件解析(二:建立数据结构)
GuLu_GuLu_jp的专栏
01-11 5209
数据结构 根据上一篇文章的内容,可以建立如下数据结构 Pcap 文件头 /** * Pcap 文件头结构 * @author johnnie * */ public class PcapFileHeader { private int magic; // 标识位,这个标识位的值是16进制的...
JavaPcap文件解析(一:Pcap格式分析)
热门推荐
GuLu_GuLu_jp的专栏
01-11 1万+
前言 需求 本系列文章主要完成以下功能: 1. 对Pcap文件进行解析,并从中提取TCP和UDP会话 2. 从TCP会话中提取出其数据负载信息 软件最终结果 [主界面] [File 菜单] [Help 的 About 菜单项,版权声明] [选择Pcap文件] [选择输出目录] [正在解析] [解析测试1:对pcap1.pcap进行解析] ...
Java自动调用wireshark解析pcap文件并输出结果
最新发布
weixin_42209881的博客
04-16 660
左边是代码输出的字符串,右边是wireshark手动解析的,一模一样,如果想讲究的话,也可以把左边的字符串格式化,放在一个tree里,看起来也比较有层次感。首先主机上得先安装wireshark的工具软件,然后最好把环境变量配上,如果不配的话,调用的时候,需要用绝对路径,建议配上环境变量,关于pcap文件的介绍,和怎么使用代码手动生成一份pcap文件,可以参考我在其他文章中的介绍,直接就可以看到返回的结果,和wireshark里一模一样的,有了pcap文件之后,再看怎么调用wireshark解析
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值