python读取pcap获得端口_读取pcap文件,过滤非tcp包,获取IP及tcp端口信息

最新推荐文章于 2024-05-29 22:10:22 发布
最新推荐文章于 2024-05-29 22:10:22 发布
阅读量585 收藏
点赞数
文章标签: python读取pcap获得端口
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_35657612/article/details/112866957
版权
该博客介绍了如何通过C语言利用WinPcap库读取pcap文件,过滤非TCP包,获取IP及TCP端口信息。程序首先打开pcap文件,然后编译并设置过滤器只捕获TCP包,最后通过`dispatcher_handler`函数解析每个包,显示源IP、目标IP和TCP端口。
摘要由CSDN通过智能技术生成

// OpenAndFilterAndPres.cpp : Defines the entry point for the console application.

//

#include "stdafx.h"

#include "pcap.h"

#include "remote-ext.h"

#include"stdlib.h"

/* 4 bytes IP address */

typedef struct ip_address{

u_char byte1;

u_char byte2;

u_char byte3;

u_char byte4;

}ip_address;

/* IPv4 header */

typedef struct ip_header{

u_char ver_ihl; // Version (4 bits) + Internet header length (4 bits)

u_char tos; // Type of service

u_short tlen; // Total length

u_short identification; // Identification

u_short flags_fo; // Flags (3 bits) + Fragment offset (13 bits)

u_char ttl; // Time to live

u_char proto; // Protocol

u_short crc; // Header checksum

ip_address saddr; // Source address

ip_address daddr; // Destination address

u_int op_pad; // Option + Padding

}ip_header;

/* UDP header*/

typedef struct udp_header{

u_short sport; // Source port

u_short dport; // Destination port

u_short len; // Datagram length

u_short crc; // Checksum

}udp_header;

// TCP首部

typedef struct tcp_header{

WORD source_port; // (16 bits) Winsock 内置函数 ntohs(),主要作用将大端转换为小端!

WORD destination_port; // (16 bits) Winsock 内置函数 ntohs(),主要作用将大端转换为小端!

DWORD seq_number; // Sequence Number (32 bits) 大小端原因,高低位4个8bit的存放顺序是反的,intel使用小端模式

DWORD ack_number; // Acknowledgment Number (32 bits) 大小端原因,高低位4个8bit的存放顺序是反的,intel使用小端模式

WORD info_ctrl; // Data Offset (4 bits), Reserved (6 bits), Control bits (6 bits) intel使用小端模式

WORD window; // (16 bits)

WORD checksum; // (16 bits)

WORD urgent_pointer; // (16 bits)

} tcp_header;

/* prototype of the packet handler */

void dispatcher_handler(u_char *temp1,

const struct pcap_pkthdr *header, const u_char *pkt_data);

int main(int argc, char* argv[])

{

pcap_t *fp;

char errbuf[PCAP_ERRBUF_SIZE];

char source[PCAP_BUF_SIZE];

//char packet_filter[] = "tcp";

//有tcp必有ip

char packet_filter[] = "ip and tcp";

struct bpf_program fcode;

u_int netmask;

if(argc != 2){

printf("usage: %s filename", argv[0]);

return -1;

}

/* Create the source string according to the new WinPcap syntax */

if ( pcap_createsrcstr( source, // variable that will keep the source string

PCAP_SRC_FILE, // we want to open a file

NULL, // remote host

NULL, // port on the remote host

argv[1], // name of the file we want to open

errbuf // error buffer

) != 0)

{

fprintf(stderr,"\nError creating a source string\n");

return -1;

}

/* Open the capture file */

if ( (fp= pcap_open(source, // name of the device

65536, // portion of the packet to capture

// 65536 guarantees that the whole packet will be captured on all the link layers

PCAP_OPENFLAG_PROMISCUOUS, // promiscuous mode

1000, // read timeout

NULL, // authentication on the remote machine

errbuf // error buffer

) ) == NULL)

{

fprintf(stderr,"\nUnable to open the file %s.\n", source);

return -1;

}

netmask=0xffffff;

//compile the filter

if (pcap_compile(fp, &fcode, packet_filter, 1, netmask) <0 )

{

fprintf(stderr,"\nUnable to compile the packet filter. Check the syntax.\n");

return -1;

}

//set the filter

if (pcap_setfilter(fp, &fcode)<0)

{

fprintf(stderr,"\nError setting the filter.\n");

return -1;

}

// read and dispatch packets until EOF is reached

pcap_loop(fp, 0, dispatcher_handler, NULL);

return 0;

}

void dispatcher_handler(u_char *temp1,

const struct pcap_pkthdr *header, const u_char *pkt_data)

{

struct tm *ltime;

char timestr[16];

ip_header *ih;

tcp_header *th;

u_int ip_len;

u_short sport,dport;

time_t local_tv_sec;

/* convert the timestamp to readable format */

local_tv_sec = header->ts.tv_sec;

ltime=localtime(&local_tv_sec);

strftime( timestr, sizeof timestr, "%H:%M:%S", ltime);

/* print timestamp and length of the packet */

printf("%s.%.6d len:%d ", timestr, header->ts.tv_usec, header->len);

/* retireve the position of the ip header */

ih = (ip_header *) (pkt_data +

14); //length of ethernet header

/* retireve the position of the tcp header */

//从IPV4首部中取出"首部长度(4 bits)"

ip_len = (ih->ver_ihl & 0xf) * 4;

//强制类型转换,便于用自己的命名处理

th = (tcp_header *) ((u_char*)ih + ip_len);

/* convert from network byte order to host byte order */

sport = ntohs( th->source_port );

dport = ntohs( th->destination_port );

/* print ip addresses and udp ports */

printf("%d.%d.%d.%d.%d -> %d.%d.%d.%d.%d\n",

ih->saddr.byte1,

ih->saddr.byte2,

ih->saddr.byte3,

ih->saddr.byte4,

sport,

ih->daddr.byte1,

ih->daddr.byte2,

ih->daddr.byte3,

ih->daddr.byte4,

dport);

}

人类0663号
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
pcap.zip_Python__Python_
08-09
`.pcap`文件可以记录网络上的所有通信,TCP/IP协议栈的各个层次,如ICMP(Internet Control Message Protocol)、IP(Internet Protocol)、UDP(User Datagram Protocol)等信息Python作为一种多用途且强大...
libpcap/winpcappcap_pkthdr结构体的说明
多学多思
10-27 8771
from : http://liuzhigong.blog.163.com/blog/static/178272375201122211217959/ pcap_pkthdr中 len 同caplen的区别   libpcap捕获时,使用pcap_loop之类的函数,在调用处理的handle的时候,返回的第一个参数的类型为pcap_pkthdr,第二个参数为uint8_t的指针,
python 读取pcap文件,并根据筛选条件,读取udp数据
最新发布
zengliguang的专栏
05-29 377
函数读取PCAP文件中的所有数据,然后通过列表推导式筛选出指定协议的数据,并打印出每个的详细信息。如果你想进一步处理每个UDP的数据(例如提取负载),可以根据需要修改打印部分的代码。要读取一个PCAP文件并根据筛选条件(例如,仅提取UDP)处理其中的数据,可以使用Python的。函数,它接受一个PCAP文件路径和一个协议名称作为参数,默认筛选UDP协议的数据。变量替换为你实际的PCAP文件路径。首先,确保你已经安装了。
Winpcap学习
04-05 1万+
下载好了WpdPack_3_2_alpha1.zip(下载地址:http://www.winpcap.org/install/bin/WpdPack_3_2_alpha1.zip),解压后除了有文档,例子外还有Include和lib,于是想用TC2来做开发环境,但是编译的时候老是出问题,于是放弃。后来阅读了Winpcap手册后才知道因为是在windows上开发,所以它推荐用VC++6.0,于是改用
blob的真实地址怎么获得_渗透技巧——获得Exchange GlobalAddressList的方法
weixin_39715348的博客
11-25 2095
0x00 前言Exchange GlobalAddressList(全局地址列表)含Exchange组织中所有邮箱用户的邮件地址,只要获得Exchange组织内任一邮箱用户的凭据,就能够通过GlobalAddressList导出其他邮箱用户的邮件地址。本文将要介绍在渗透测试中不同条件下获得Exchange GlobalAddressList的常用方法,分享程序实现的细节,最后介绍禁用G...
python监听端口获取数据_python从网络端口读取文本数据
weixin_42181888的博客
12-24 2682
python从网络端口读取文本数据# To test it with netcat, start the script and execute:## echo "Hello, cat." | ncat.exe 127.0.0.1 12345#import socketHOST = 'localhost' # use '' to expose to all networksPORT = 1...
python分析pcap
12-04
2. **读取PCAP文件**:Scapy提供了`rdpcap()`函数来读取PCAP文件。例如,我们可以这样读取名为"pcapanalysis.pcap"的文件: ```python packets = rdpcap('pcapanalysis.pcap') ``` 3. **遍历并分析数据**:现在...
利用Python库Scapy解析pcap文件的方法
09-19
许多工具如Wireshark、Tcpdump等都可以生成或读取pcap文件。 #### 三、使用Scapy解析pcap文件 为了演示如何使用Scapy解析pcap文件,我们可以参考下面的示例代码: ```python from scapy.all import * # 读取pcap...
通用类-使用python中scapy加上固定配置文件读取离线的网络数据
05-08
本篇文章将深入探讨如何利用Scapy结合固定配置文件读取离线的网络数据,主要涉及`Ether`、`IP`、`UDP`和`TCP`这四种常见的网络协议。 首先,`Ether`(以太网)是OSI模型第二层的数据链路层协议,它定义了网络...
pcap2curl读取数据捕获提取HTTP请求并将其转换为cURL命令进行重放
08-10
为了使用`pcap2curl`,首先需要安装必要的Python库,如`scapy`(用于解析网络)和`pypcap`(用于读取`.pcap`文件)。然后,运行`pcap2curl.py`脚本,传入`.pcap`文件的路径,它将输出相应的cURL命令。 总的来说,...
python处理pcap文件,统计所有IP对之间的通信的数据数量
weixin_35756624的博客
02-11 682
可以使用scapy库来处理pcap文件并统计所有IP对之间的通信的数据数量。首先,需要导入scapy库,并使用rdpcap方法读取pcap文件。然后,可以遍历每一个数据获取IP地址和目的IP地址,并将它们作为键值对存入字典中,同时统计每一对IP地址之间的通信数据数量。代码如下: from scapy.all import * def process_pcap(pcap_file): ...
python读取pcap获得端口_Python处理网络数据示例(pcapy读pcap文件
weixin_28961225的博客
01-15 508
Python处理网络数据示例(pcapy读pcap文件)最近在围观python,找了个pcapy处理pcap数据的代码常久以前的东西了,应该是在项目组做的半成品吧。今天重装机器,不经意翻出来了。这个脚本是读入一个libpcap保存的文件,按照要求过滤数据,最后将过滤后的数据保存到一个新文件中。运行环境应该是2.5吧。原文在http://muyublog.appspot.com/2010/0...
wirehark数据分析与取证hacker1.pcap
Aluxian_的博客
12-03 1792
什么是wireshark?wiresharekhacker1.pcap数据数据下载 请私信博主! wiresharek Wireshark(前称Ethereal)是一个网络封分析软件。网络封分析软件的功能是检索取网络封,并同时显示出最详细的网络封数据。Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。 wireshark的介绍: 假设您是一名网络安全工程师,需要对某公司的公司进行数据分析,分析黑客获取电脑权限进行的操作,我们本章主要以分析案例数据进行分析关键数据。 ha
[Python][Scapy]使用Scapy解析pcap格式数据
friend_c的博客
04-11 1万+
欢迎使用Markdown编辑器 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Markdown编辑器, 可以仔细阅读这篇文章,了解一下Markdown的基本语法知识。 新的改变 我们对Markdown编辑器进行了一些功能拓展与语法支持,除了标准的Markdown编辑器功能,我们增加了如下几点新功能,帮助你用它写博客: 全新的界面设计 ,将会带来全新的写作体...
python之用scapy分层解析pcap报文(Ethernet帧、IP数据TCP数据、UDP数据、Raw数据
热门推荐
GFS_lele的博客
03-27 2万+
一、工具准备   下载安装scapy库(https://blog.csdn.net/qq_23977687/article/details/88046257) 二、scapy用法   1.1、得到数据   有两种方式,实时抓读取 pcap文件   实时抓:利用sniff方法来实现(eth0是要检测的网卡名,count是抓的数量) from scapy.all import...
Python-对Pcap文件进行处理,获取指定TCP
weixin_30929295的博客
08-26 1503
通过对TCP/IP协议的学习,本人写了一个可以实现对PCAP文件中的IPV4下的TCP流提取,以及提取指定的TCP流,鉴于为了学习,没有采用第三方解析pcap,而是对bytes流进行解析,其核心思想为:若想要提取TCP Content,需在下层的IPV4协议中判断Protocol是否为TCP,然后判断下层的以太网协议的Type是否为IPV4协议(此处的IPV4判断,只针对本人所写...
python 解析pcap文件读取每行内容
07-20
要在Python中解析pcap文件读取每行内容,你可以使用第三方库`dpkt`。...以上代码将打开pcap文件,逐行读取内容,并提取源IP地址、目标IP地址、源端口和目标端口信息。你可以根据需要进一步处理数据或执行其他操作。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值