python解析pcap提取{src ip,src port,protocol,dst ip, dst port}五元组,再提取网络流(包括前向流与后向流)

最新推荐文章于 2024-05-31 14:59:52 发布
最新推荐文章于 2024-05-31 14:59:52 发布
阅读量8.5k 收藏 30
点赞数 2
分类专栏: python 网络 文章标签: pcap
本文为CSDN博主"呆萌的代Ma"原创文章,转载请注明博客链接:https://blog.csdn.net/weixin_35757704/
本文链接:https://blog.csdn.net/weixin_35757704/article/details/107107793
版权
python 同时被 2 个专栏收录
593 篇文章 40 订阅
订阅专栏
网络
30 篇文章 0 订阅
订阅专栏

通过解析pcap文件,按照{src ip, src port, transport protocol , dst ip, dst port} 拆分流,并提取出前向流(Forward)与后向流(Backward),代码如下:

import pyshark
import pandas as pd


class Net_flow(object):
    def __init__(self, file_path):
        self.cap = pyshark.FileCapture(file_path)

    # {ip_server, ip_client,transport ,port_server, port_client}
    def get_target_client_ip_port(self, num=None):
        for index, pkt in enumerate(self.cap):
            ip_server = pkt.ip.src
            port_server = pkt.tcp.srcport
            # protocol_number = pkt.ip.proto  #有时要提前协议号,就是这行代码 icmp 1, igmp 2, tcp 6, udp 17
            ip_client = pkt.ip.dst
            port_client = pkt.tcp.dstport
            timestamp = pkt.sniff_timestamp
            transport_layer = pkt.transport_layer
            length = pkt.length
            if num:# 如果指定num=100,则只会输出100个流
                if index > num:
                    return [ip_server + ":" + port_server, ip_client + ":" + port_client, transport_layer, timestamp, length]
            yield [ip_server + ":" + port_server, ip_client + ":" + port_client, transport_layer, timestamp,length]

if __name__ == '__main__':
    try:
        pcap_file = "pacp文件地址"
        net_flow = Net_flow(pcap_file)
        target_client_ip_port = net_flow.get_target_client_ip_port()
        with open("保存的文件.csv", 'a') as f:# 将提取出的五元组保存起来
            for target_client_ip_port_temp in target_client_ip_port:
                write_str = ",".join(target_client_ip_port_temp)
                f.write(write_str + "\r\n")
    except Exception as e:
        print(e)

上面的代码提取出了五元组,将它们保存起来或是直接放在内存中,然后就可以根据这个提取网络流了,这里包括前向流(forward)与后向流(backward):

import pandas as pd

def get_features(file_name):
    finish_flow_list = []
    dataframe = pd.read_csv(file_name, header=None)
    dataframe.columns = ['addr_ip', 'dst_ip', 'protocol', 'timestamp', 'length']
    # 思路是通过value_counts将大的dataframe拆分成小的dataframe
    addr_diff = dataframe['addr_ip'].value_counts().index
    for addr_ip in addr_diff:
        addr_df = dataframe[dataframe['addr_ip'] == addr_ip]
        diff_dst_index = addr_df['dst_ip'].value_counts().index
        for dst_ip in diff_dst_index:
            # 定义addr_ip->dst_ip为forward
            forward_se = dataframe.loc[dataframe['addr_ip'] == addr_ip, 'dst_ip'] == dst_ip # 这是通过两列数据定位dataframe
            forward_df = dataframe.loc[forward_se[forward_se == True].index]
            forward_df['state'] = 'forward'
            backward_se = dataframe.loc[dataframe['addr_ip'] == dst_ip, 'dst_ip'] == addr_ip
            backward_df = dataframe.loc[backward_se[backward_se == True].index]
            backward_df['state'] = 'backward'
            yield pd.concat([forward_df, backward_df])

def analyze_flow(dataframe):
    forward_df_all = dataframe[dataframe['state'] == 'forward']
    backward_df_all = dataframe[dataframe['state'] == 'backward']
    # 对前向流与后向流的操作
    pass


if __name__ == '__main__':
    try:
        flow_df = get_features("五元组.csv")
        for df in flow_df:
            analyze_flow(df)
    except Exception as e:
        print(e)
呆萌的代Ma
关注
  • 2
    点赞
  • 30
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
使用pyshark进行抓包分析
神威的博客
11-18 3136
import pyshark from logging import captureWarnings cap = pyshark.LiveCapture() cap.sniff(timeout=2) # f= open("1.txt","a") # for i in cap: # # f.write(str(i)) m = 0 c = "////////////////////" for i in cap: s = str(i) s = s.split("Layer ")
extractor:python脚本从PCAP提取文件
05-18
该脚本是为将文件从PCAP文件中拉出而设计的(大约需要工作,我花了大约一个小时将它放在一起)。 目前,它将提供.doc文件以外的所有内容作为未知的文件扩展名。 当我发现更多信息时,我会将它们添加到get_extension...
pcap文件解析,并且按照五元组分类
06-14
pcap文件解析,并按照五元组分包,全部用java语言实现。
使用PYTHON解析Wireshark的PCAP文件方法
09-19
今天小编就为大家分享一篇使用PYTHON解析Wireshark的PCAP文件方法,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
python用pyshark抓包
最新发布
weixin_43842848的博客
05-31 317
pyshark
计算机网络抓包工具——tcpdump详解
热门推荐
m0_52165864的博客
08-01 2万+
tcpdump是Linux里的字符界面的数据抓包分析软件。tcpdump是一个用于截取网络分组,并输出分组内容的工具。
[Python] 解析Pcap三个Python库(Dpkt Scapy Pyshark)应用实例
coderge's CSDN Blog.
06-10 1万+
如果要处理pcap文件,python有仨库比较有名(如果有传输层的话) 包含以下信息。 Pyshark Or Wireshark 如果只是想要所有packet的[src_IP, dst_IP, src_MAC, dst_MAC, Protocol, TimeStamp, Info]等信息,可以直接打开Wireshark导出这个操作也可以用Pyshark库完成。 使用 PyShark 和 scapy 从 pcap 文件中读取字段并填充 CSV pcap 中的每个数据包都呈现到 csv 文件的一行中。要提取的特
python抓取数据包提取五元组
07-26
抓取数据包并提取五元组是一项常见的网络数据分析任务,用于分析和理解网络通信。下面是对该过程的描述: 抓取数据包:使用Python中的网络抓包库(如Scapy、pcapy、dpkt等),可以监听网络接口或读取存储在文件中的网络数据包。这些库提供了函数和方法来捕获和读取数据包。 解析数据包:对于每个捕获到的数据包,需要对其进行解析以获取有用的信息。解析可以涉及解码网络协议头部(如IP头部、TCP/UDP头部)以及提取负载数据。 提取五元组五元组是指网络通信中标识唯一连接的五个关键属性,包括IP地址、目标IP地址、源端口号、目标端口号和传输协议(如TCP或UDP)。通过解析数据包的网络协议头部,可以提取这些五元组信息。 存储或处理五元组提取五元组信息可以根据需要进行存储、分析或进一步处理。可以将其保存到数据库中,用于网络量分析、安全监测或性能优化等。 可选操作:除了提取五元组之外,还可以对数据包进行其他操作,如计算吞吐量、延迟或分析应用层协议等。这些操作可以根据需求和具体场景进行。 请注意,实际的实现方式可能会因所选择的库和工具而有所不同。在编写代码时,需要熟悉所选库的
安全开发--8--Python实现量数据包(pcap包)分析
武天旭的博客
08-26 4693
本篇我们会使用Python从HTTP量中提取出图片文件,然后使用OpenCV对它们进行处理,尝试识别出带有人脸的图像,以此来锁定我们可能感兴趣的内容。至于量数据包,可以百度搜索帅哥美女图片,有人脸的图片就会一抓一大把,再使用wireshark之类的工具来抓取等等,方式很多,就不介绍了。对于这个需求,我们会分为两步来执行,第一步是从HTTP量中提取图片,并将它们保存到磁盘上;第二步是分析每一张图片以判断里面是否会出现人脸,如果图片里面确实有人脸, 就用一个方框把其中的人脸圈出来,并单独保存(另存为)
Python 使用dpkt提取五元组
努力学习
02-11 2896
这个是在实习期间做的一个小程序,用来提取包的五元组提取包可以用wireshark进行保存,也可以使用师兄开发的程序Streamdump进行抓包,格式为pcap 这个程序的目的是抓取五元组:目的IP,目的端口,源地址,源端口以及ServerName。也可以作其他修改,提取需要的东西。 存在一些奇怪的包是解析不出来的,那些奇怪的包我还以为是我的程序有错误,特意把包的地址放在了数据库字段中,经查阅确实...
java解析Pcap文件获取五元组(可执行)
07-13
本教程将深入探讨如何使用Java解析Pcap文件,以提取其中的五元组信息。 五元组网络数据包分析中的基本概念,它由源IP地址、目的IP地址、源端口号、目的端口号和传输层协议(通常是TCP或UDP)组成。这五个元素唯一...
rtmp数据抓取保存
07-11
rtmp rtmp协议 amf rtmp协议学习 可以学习rtmp协议与AMF协议 有疑问可以与我联系~
python分析pcap
12-04
利用Python快速分析数据包的完整性,提示数据包缺少步骤,按照源端口目的端口源ip和目的ip进行分
python基于winpcap的抓包和发包
12-20
该脚本使用python通过winpcap和网卡驱动交互,从而实现抓包和跨协议栈的发包功能; 在入口函数中增加了脚本使用说明和举例! s = SNIFFER(interface)#设置待监听的网卡 s.start()#设置启动线程开始监听网卡 time.sleep(10)#主线程休眠10秒钟 s.stop()#停止监听网卡 联系我:jetmie@126.com
WinPcap过滤串表达式的语法
Why So Serious?
06-18 1883
WinPcap过滤串表达式的语法
python rtsp rtmp_Rtsp to Rtmp媒体转发
weixin_39642761的博客
12-11 1250
RTMP是一种设计用来进行实时数据通信的网络协议,主要用来在Flash/AIR平台和支持RTMP协议的媒体/交互服务器之间进行音视频和数据通信。支持该协议的软件包括Adobe Media Server、Ultrant Media Server、red5、nginx。HTTP Live Streaming(HLS)是苹果公司(Apple Inc.)实现的基于HTTP的媒体传输协议,可实现媒体的...
pcap大文件,过滤指定IP的报文
游青的博客
12-09 899
读取pcap大文件,过滤指定IP的报文
TCP 包头详解
weixin_34380296的博客
08-23 1359
TCP(Transmission Control Protocol 传输控制协议)是一种面向连接的、可靠的、基于字节的传输层通信协议。当应用层向TCP层发送用于网间传输的、用8位字节表示的数据,TCP则把数据分割成适当长度的报文段,最大传输段大小(MSS)通常受该计算机连接的网络的数据链路层的最大传送单元(MTU)限制。之后TCP把数据包传给IP层,由它来通过网络将包传送给接收端实体的TCP...
根据五元组pcap数据包划分
mate595的博客
09-01 6017
目的 对数据包(pacp格式)中的数据,按照五元组(#:源端口号、目的端口号、协议号、源IP、目的IP)对进行划分。 举例:flow1(data[IP].src, data.sport, data[IP].dst, data.dport, data.proto)。 思路 五元组提取 首先对每个数据包进行遍历,提取出里面有效的五元组信息。 在实践中: 因为抓包在链路层,可能有些包是ARP协议等,所以没有上层信息,视为无效包。 还有些数据包缺失端口号或者协议(无tcp,udp等扽标识),暂时
写一个pcap提取五元组Python
03-23
代码如下: import dpkt import socket def extract_five_tuple(pcap_file): with open(pcap_file, 'rb') as f: pcap = dpkt.pcap.Reader(f) for ts, buf in pcap: eth = dpkt.ethernet.Ethernet(buf) if not isinstance(eth.data, dpkt.ip.IP): continue ip = eth.data src_ip = socket.inet_ntoa(ip.src) dst_ip = socket.inet_ntoa(ip.dst) if not isinstance(ip.data, dpkt.tcp.TCP): continue tcp = ip.data src_port = tcp.sport dst_port = tcp.dport print(f"src_ip: {src_ip}, dst_ip: {dst_ip}, src_port: {src_port}, dst_port: {dst_port}") # example usage extract_five_tuple('example.pcap') 这段代码可以从一个pcap文件中提取五元组信息,包括IP地址、目的IP地址、源端口号和目的端口号。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

呆萌的代Ma

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值