离线流量分析

最新推荐文章于 2021-09-29 16:31:33 发布
最新推荐文章于 2021-09-29 16:31:33 发布
阅读量167 收藏
点赞数
文章标签: python 网络 runtime
原文链接:http://www.cnblogs.com/maskerk/p/10015660.html
版权

介绍

通过本地已经生成的pcap/cap文件,读取并分析数据

正文

PCAP_Parser.py

login_invalid.pcap 查找关键词 invalid ,如果有符合的数据包,把所有数据包详细打印出来。

import logging
logging.getLogger("scapy.runtime").setLevel(logging.ERROR)#清除报错
from scapy.all import *
import re

def pcap_parser(filename,keyword):
    pkts = rdpcap(filename)
    return_pkts_list = [] #返回匹配数据包的清单!
    for pkt in pkts.res:
        try:#为什么用try呢,decode有可能失败
            pkt_load = pkt.getlayer('Raw').fileds['load'].decode().strip()#提取负载内容
            re_keyword = '.*' + keyword + '.*' #形成关于关键字的正则表达式
            #如果负载内容匹配,并且源端口为23,把数据包添加到 return_pkts_list
            if re.match(re_keyword, pkt_load) and pkt.getlayer('TCP').fields['sport'] == 23:#如果该包符合正则表达式,并且TCP端口为23
                return_pkts_list.append(pkt) # 把符合内容的追加到  return_pkts_list
        except:
            pass

    return return_pkts_list #返回匹配数据包的清单

if __name__ == "__main__":
    pkts = pcap_parser("login_invalid.pcap","invalid")
    i = 1
    for pkt in pkts:
        print('=========第' + str(i) + "个包('=========")
        pkt.show()
        i += 1

login_invalid.pcap 这个文件怎么生成的,可以戳 在线流量分析

参考

参考推荐:https://www.jianshu.com/p/8eab70118fad

https://www.youtube.com/watch?v=_wb-e1edRhM

转载于:https://www.cnblogs.com/maskerk/p/10015660.html

weixin_30340617
关注
Suricata + Wireshark离线流量日志分析
10-06
离线流量分析场景下,Wireshark可以打开由Suricata或其他数据包捕获工具生成的.pcap文件,进一步进行深度分析。用户可以通过过滤器快速定位感兴趣的数据包,查看特定主机或服务的通信,分析异常行为,或者检查特定...
python解析wirshark抓包数据
qq_44913716的博客
11-13 1188
python解析wirshark抓包
Wireshark 解密 RDP 流量
weixin_51387754的博客
05-01 5569
Wireshark Tutorial: Decrypting RDP Traffic 近年来,攻击者利用远程桌面协议(RDP)访问不安全的服务器和企业网络。自2017年以来,RDP已成为使用勒索软件进行恶意软件攻击的重要载体。安全专业人员通过编写签名来检测RDP漏洞并防止攻击,将注意力越来越集中在此协议上。 作为Microsoft的专有协议,RDP支持多种加密网络流量的操作模式。不幸的是,由于RDP内容被隐藏,因此这种加密使写入RDP签名变得困难。 幸运的是,我们可以建立一个提供密钥文件的测试环境,并且可以
现场取证之流量分析总结
weixin_30346033的博客
10-20 2537
一、前言 当业务系统发生安全事件时,我们除了需要对客户的主机进行排查找出入侵来源、还原入侵事故过程,还需要对网络流量持续性地跟踪监测。 虽然市面上那么多的安全监控分析设备、软件,产生了大量的安全日志。可还是要将尝试攻击、已经攻击成功的情况判断出来有针对性地进行排查、防御。 针对常见的攻击事件,结合监测工作中分析流量的方法,总结了几个网络流量分析排查思路。 本文将顺序从工作场景中遇到的协议...
基于离线pcap包的FTP协议网络流量数据提取
dibi7905的博客
11-27 1437
基于离线pcap包的FTP协议网络流量数据提取 最近要利用python程序对离线pcap数据包进行分析,工作的环境是win10系统,python3.6 一、需要用到的几个python库 struct io sys 附:利用wireshark进行辅助分析 二、协议提取 1、定义所需要的库 import struct import io import sys` 2、对数据包进行导入 open_file...
大数据离线---网站日志流量分析系统(2)---数据获取和预处理
weixin_42229056的博客
09-19 3138
本次接上一篇,进行实际数据的获取和预处理,会有较多的代码内容 数据的获取 数据的预处理 数据的获取 需求 数据采集的需求广义上来说分为两大部分。 是在页面采集用户的访问行为,具体开发工作: 1、 开发页面埋点 js,采集用户访问行为 2、 后台接受页面 js 请求记录日志 是从 web 服务器上汇聚日志到 HDFS,是数据分析系统的数据采集,具体的技术实现有很多方式: Shell 脚本 ...
Python编写的可视化的离线数据包分析器
最新发布
05-01
Python编写的可视化的离线数据包分析器 主要功能 1.展示数据包基本信息 2.分析数据包协议 3.分析数据包流量 4.绘制出访问IP经纬度地图 5.提取数据包中特定协议的会话连接(WEB,FTP,Telnet) 6.提取会话中的敏感...
offlineMap离线地图
01-22
离线地图技术是移动设备和桌面应用中的一种重要功能,特别是在网络覆盖不稳定或者数据流量有限的情况下,它使得用户能够在无网络连接时仍然可以查看和使用地图。离线地图的实现涉及多个技术领域,包括地理信息系统...
Pcap-Analyzer:Python编写的可视化的离线数据包分析器
05-11
流量分析: 访问IP经纬度地图: 会话提取: 攻击信息警告: 文件提取: 安装部署过程: 运行环境:Python 3.5.X 操作系统:Linux (以Ubuntu 15.10为例) 1.Python相关环境配置(Ubuntu默认安装Python2.7不需要额外安装...
C语言分析pcap文件
04-15
本文档是C语言编写,基于linux下对pcap格式文件的分析,希望能够提供帮助。
网络数据包与流量分析工具
11-22
科来网络分析软件,查看流量,监控数据包 软件
driver_pcap_parser:Teltonika驱动程序PCAP解析器
03-26
驱动程序PCAP解析器 适用于Teltonika驱动程序的Python PCAP文件解析器 免费软件:MIT许可证 文档: : 。 特征 解析PCAP文件并检测TELTONIKA序列号 添加Ruptela序列号解析器 添加VT10序列号解析器 用法 $ python3 -m venv .venv $ source .venv/bin/activate $ pip install driver_pcap_parser $ sudo timeout 60s tcpdump -i eth0 -G 60 'dst port 123 and dst host 1.2.3.4' -w '/tmp/log.pcap' $ driver_pcap_parser -f /tmp/log.pcap {'serial': '123', 'src_ip': '1.1.1.1', 'dst_ip': '1.1
使用PYTHON解析Wireshark的PCAP文件方法
09-19
今天小编就为大家分享一篇使用PYTHON解析Wireshark的PCAP文件方法,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
python实现——40W告警日志分析(上)
LainWith的博客
09-29 1444
目录前言获取攻击统计排名获取“判断依据” 前言 上周接到一个活,说是分析一下机房新设备的告警日志,我没当回事,直到周五的时候看到40W+的告警日志之后,我炸了。 老设备平常一周也不过上万条,涉及规则20来个,一天就分析完了,新设备上来就是40W+的告警次数,涉及规则300+,最最痛苦的还是,虽然我能看到告警事件排名,虽然设备还不支持导出排名信息,虽然我还能接受手工复制每页的排名信息,但是,300+的规则好几页,设备无法完成翻页操作,卡出翔了!!!唯一的突破口,就是直接处理40W+的日志,python在手,冲
Scapy网络流量分析(Analyzing Network Traffic With Scapy)
why123wh的博客
03-01 1210
文章目录socket编程(raw socket programming) socket编程(raw socket programming)
网站日志流量分析系统之离线分析(自动化脚本)
09-07 328
一、概述   网站日志流量分析系统之数据清洗处理(离线分析)已经将数据进行清洗处理,但是处理过程分区信息(日期reportTime是写死的),而且hql语句也是需要人工手动去执行,在实际开发中肯定不会容忍这样的事情,所以让程序自动程序那些hql语句,作离线分析是当下我们要解决的问题。 二、自动化脚本 (1)编写logdemo.hql脚本 use logdb; alter...
网络流量的分析系统c语言,对恶意软件Dridex的流量分析
weixin_32612347的博客
05-24 540
*本文作者:arr0w1,本文属 FreeBuf 原创奖励计划,未经许可禁止转载。前言流量分析需要我们有扎实的网络知识为基础,同时需要具备实际操作的能力和经验。通过写本篇文章,记录下练习流量分析的过程。以便提高从流量上确定感染情况,以及分析溯源等能力。wireshark及其插件WireShark是一款强大的网络协议分析开源软件,它提供了灵活的插件机制,使用户可以方便地扩展wireshark的功能。...
Hive SQL离线分析:流量数据清洗与分区操作
在本篇文章中,我们将深入探讨如何利用Hive SQL进行网站流量分析项目的离线数据处理。Hive是一种基于Hadoop的数据仓库工具,特别适合大数据集的处理和分析。本文主要围绕以下几个关键步骤展开: 1. **Hive环境设置...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值