python读取pcap文件 起始位置_python读取pcap文件(续2)

最新推荐文章于 2024-07-08 11:09:27 发布
最新推荐文章于 2024-07-08 11:09:27 发布
阅读量470 收藏
点赞数
文章标签: python读取pcap文件 起始位置

从今天开始准备试一试对pcap文件数据报的协议解析。

首先从最简单的以太网层开始。我们知道,目前常用的以太网帧结构有两种,一个是IEEE802.3,一个是Ethernet

II,两者的区别也很清楚,就是在目的Mac地址和源Mac地址好后面的两个字节是代表长度还是类型。

EtherType

是以太帧里的一个字段,用来指明应用于帧数据字段的协议。根据 IEEE802.3,Length/EtherType

字段是两个八字节的字段,含义两者取一,这取决于其数值。在量化评估中,字段中的第一个八位字节是最重要的。而当字段值大于等于十进制值

1536 (即十六进制为 0600)时, EtherType 字段表示为 MAC 客户机协议(EtherType

解释)的种类。该字段的长度和 EtherType 详解是互斥的。

Ethertype(十六进制)

协议

0x0000 - 0x05DC

IEEE 802.3 长度

0x0101 – 0x01FF

实验

0x0600

XEROX NS IDP

0x0660 0x0661

DLOG

0x0800

网际协议(IP)

0x0801

X.75 Internet

0x0802

NBS Internet

0x0803

ECMA Internet

0x0804

Chaosnet

0x0805

X.25 Level 3

0x0806

地址解析协议(ARP : Address Resolution Protocol)

0x0808

帧中继 ARP (Frame Relay ARP) [RFC1701]

0x6559

原始帧中继(Raw Frame Relay) [RFC1701]

0x8035

动态 DARP(DRARP:Dynamic RARP)

反向地址解析协议(RARP:Reverse Address Resolution Protocol)

0x8037

Novell Netware IPX

0x809B

EtherTalk

0x80D5

IBM SNA Services over Ethernet

0x 80F 3

AppleTalk 地址解析协议(AARP:AppleTalk Address Resolution

Protocol)

0x8100

以太网自动保护开关(EAPS:Ethernet Automatic Protection Switching)

0x8137

因特网包交换(IPX:Internet Packet Exchange)

0x 814C

简单网络管理协议(SNMP:Simple Network Management Protocol)

0x86DD

网际协议v6 (IPv6,Internet Protocol version 6)

0x880B

点对点协议(PPP:Point-to-Point Protocol)

0x 880C

通用交换管理协议(GSMP:General Switch Management Protocol)

0x8847

多协议标签交换(单播) MPLS:Multi-Protocol Label Switching

)

0x8848

多协议标签交换(组播)(MPLS, Multi-Protocol Label Switching

)

0x8863

以太网上的 PPP(发现阶段)(PPPoE:PPP Over Ethernet

)

0x8864

以太网上的 PPP(PPP 会话阶段) (PPPoE,PPP Over Ethernet

Session Stage>)

0x88BB

轻量级访问点协议(LWAPP:Light Weight Access Point Protocol)

0x88CC

链接层发现协议(LLDP:Link Layer Discovery Protocol)

0x8E88

局域网上的 EAP(EAPOL:EAP over LAN)

0x9000

配置测试协议(Loopback)

0x9100

VLAN 标签协议标识符(VLAN Tag Protocol Identifier)

0x9200

VLAN 标签协议标识符(VLAN Tag Protocol Identifier)

0xFFFF

保留

在python中我是用一个字典来实现的:

EtherType = {'0x0600':'XEROX NS IDP',

'0x0660':'DLOG',

'0x0661':'DLOG',

'0x0800':'IP',

'0x0801':'X.75',

'0x0802':'NBS',

'0x0803':'ECMA',

'0x0804':'Chaosnet',

'0x0805':'X.25',

'0x0806':'ARP',

'0x0808':'Frame Relay ARP',

'0x6559':'Raw Frame Relay',

'0x8035':'RARP',

'0x8037':'Novell Netware IPX',

'0x809B':'Ether Talk',

'0x80d5':'IBM SNA Service over Ethernet',

'0x80f3':'AARP',

'0x8100':'EAPS',

'0x8137':'IPX',

'0x814c':'SNMP',

'0x86dd':'IPv6',

'0x880b':'PPP',

'0x880c':'GSMP',

'0x8847':'MPLS(unicase)',

'0x8848':'MPLS(multicast)',

'0x8863':'PPPoE(Discovery stage)',

'0x8864':'PPPoE(ppp session stage)',

'0x88bb':'LWAPP',

'0x88cc':'LLDP',

'0x8e88':'EAP over LAN',

'0x9000':'Loopback',

'0x9100':'VLAN Tag PI',

'0x9200':'VLAN Tag PI',

'0xffff':'Reservations'

}

然后根据二进制字符来分解:

# framedata.py

# !/usr/bin/python

class

Protocol(object):

def __init__(self):

pass

# transform like '\x01\x0e\0xb0' to

'0x010eb0'

def str_to_hex(self,strs):

hex_data =''

for i in range(len(strs)):

tem = ord(strs[i])

tem = hex(tem)

if len(tem)==3:

tem = tem.replace('0x','0x0')

tem = tem.replace('0x','')

hex_data = hex_data+tem

return '0x'+hex_data

class

Ethernet(Protocol):

def __init__(self,datastr=None):

self.dst = None

self.src = None

self.ethertype = None

self.len = None

self.type = None

self.datastr = datastr

def decode(self):

tem = self.str_to_hex(self.datastr[0:6])

self.dst =

tem[2:4]+':'+tem[4:6]+':'+tem[6:8]+':'+tem[8:10]+':'+tem[10:12]+':'+tem[12:14]

tem = self.str_to_hex(self.datastr[6:12])

self.src =

tem[2:4]+':'+tem[4:6]+':'+tem[6:8]+':'+tem[8:10]+':'+tem[10:12]+':'+tem[12:14]

self.unknow = self.str_to_hex(self.datastr[12:14])

tem = int(self.unknow,16)

dststr = 'Destination: '+self.dst

srcstr = 'Source

: '+self.src

if tem<=1500:

self.ethertype='IEEE 802.3 Ethernet'

self.len =tem

lenstr = 'Length: '+str(self.len)

return [self.ethertype, dststr,srcstr,lenstr]

elif tem>=1536:

self.ethertype='Eternet II'

self.type = EtherType[self.unknow]

typestr = 'Type: '+self.type+'('+self.unknow+')'

return [self.ethertype, dststr,srcstr,typestr]

其中父类Protocol还在初级探索阶段,没有成型,以后会根据需要完善。

测试:

# !/usr/bin/python

from readpcapfile import *

from framedata import *

data

=rdpcap("C:\\Python25\\code\\pcap\\PcapReader\\pcap\\test_ether.pcap")

for i in range(len(data)):

strs =

data[i][1]

test =

Ethernet(strs)

Ether_data =

test.decode()

print

Ether_data

结果类似于:

['Eternet II', 'Destination:

ff:ff:ff:ff:ff:ff',

'Source : 00:0e:a6:27:07:ab', 'Type: IP(0x0800)']

['Eternet II', 'Destination: ff:ff:ff:ff:ff:ff',

'Source : 00:0e:a6:27:07:ab', 'Type: IP(0x0800)']

['Eternet II', 'Destination: ff:ff:ff:ff:ff:ff',

'Source : 00:0e:a6:27:07:ab', 'Type: IP(0x0800)']

['Eternet II', 'Destination: ff:ff:ff:ff:ff:ff',

'Source : 00:0e:a6:27:07:ab', 'Type: IP(0x0800)']

['IEEE 802.3 Ethernet', 'Destination: 01:00:0c:cc:cc:cd',

'Source : 00:0a:8a:1f:55:11', 'Length: 50']

['Eternet II', 'Destination: ff:ff:ff:ff:ff:ff',

'Source : 00:0e:a6:27:07:ab', 'Type: ARP(0x0806)']

['Eternet II', 'Destination: ff:ff:ff:ff:ff:ff',

'Source : 00:0e:a6:27:07:ab', 'Type: IP(0x0800)']

['Eternet II', 'Destination: ff:ff:ff:ff:ff:ff',

'Source : 00:0e:a6:27:07:ab', 'Type: IP(0x0800)']

['Eternet II', 'Destination: ff:ff:ff:ff:ff:ff',

'Source : 00:0e:a6:27:07:ab', 'Type: IP(0x0800)']

['Eternet II', 'Destination: 00:0f:e2:d7:ef:f9',

'Source : 00:12:3f:92:b0:41', 'Type: IP(0x0800)']

['Eternet II', 'Destination: 00:0f:e2:d7:ef:f9',

'Source : 00:12:3f:92:b0:41', 'Type: IP(0x0800)']

['Eternet II', 'Destination: 00:0f:e2:d7:ef:f9',

'Source : 00:12:3f:92:b0:41', 'Type: IP(0x0800)']

['Eternet II', 'Destination: 00:0f:e2:d7:ef:f9',

'Source : 00:12:3f:92:b0:41', 'Type: IP(0x0800)']

['Eternet II', 'Destination: 00:0f:e2:d7:ef:f9',

'Source : 00:12:3f:92:b0:41', 'Type: IP(0x0800)']

['Eternet II', 'Destination: 00:0f:e2:d7:ef:f9',

'Source : 00:12:3f:92:b0:41', 'Type: IP(0x0800)']

['Eternet II', 'Destination: ff:ff:ff:ff:ff:ff',

'Source : 00:0e:a6:27:07:ab', 'Type: IP(0x0800)']

weixin_39636176
关注
python分析pcap文件_Python读取pcap文件
weixin_39525097的博客
11-30 1027
想试一试读取pcap文件的内容,并且分析出pcap文件头,每一包数据的pcap头,每一包的数据内容(暂时不包括数据包的协议解析),关于pcap文件的格式,可以参看:http://blog.sina.com.cn/s/blog_4b5039210100fzrt.html搞了一下午,写了一个py文件,rdpcap.py,想把里面的二进制文件全部弄成十六进制的,然后作为字符串写入到一个txt文件,转化成...
python 读取 pcap文件并分析(附源码)
满天星辰
09-12 8467
从上一篇博客可以看到pcap文件的格式,前面24字节是不用管的,而每一个数据包前都有16字节的说明,其中第8-11字节是caplen字段,也就是这个数据包的长度信息,不包含这16个字节。我们打开文件读取时可以直接seek()到第32(24+8)字节,去读取第一个数据包的长度,然后再回退12个字节,读取(caplen+16)个长度,作为整个数据包的数据。 读取之后的数据包时,用同样的方法先向后 seek 8个字节,读取caplen后在回退12个字节,读取(caplen+16)的长度,即为数据包数据。 读取
Python读取pcap文件
清风飘过
08-28 8794
http://blog.sina.com.cn/s/blog_4b5039210100gnlu.html    想试一试读取pcap文件的内容,并且分析出pcap文件头,每一包数据的pcap头,每一包的数据内容(暂时不包括数据包的协议解析),关于pcap文件的格式,可以参看:http://blog.sina.com.cn/s/blog_4b5039210100fzrt.html     搞了
python packets = rdpcap(pcap_file) 只读取符合条件的数据
zengliguang的专栏
06-25 1135
函数只读取符合特定条件的数据包,可以先读取所有数据包,然后使用列表推导式或其他筛选方法来获取符合条件的数据包。文件路径和要筛选的源 IP 地址作为参数,返回符合条件的数据包列表。您可以根据自己的具体条件修改筛选逻辑。在 Python 中,如果您想使用。在上述代码中,定义了一个。
python 读取pcap文件,并根据筛选条件,读取udp包数据
zengliguang的专栏
05-29 467
函数读取PCAP文件中的所有数据包,然后通过列表推导式筛选出指定协议的数据包,并打印出每个包的详细信息。如果你想进一步处理每个UDP包的数据(例如提取负载),可以根据需要修改打印部分的代码。要读取一个PCAP文件并根据筛选条件(例如,仅提取UDP包)处理其中的数据,可以使用Python的。函数,它接受一个PCAP文件路径和一个协议名称作为参数,默认筛选UDP协议的数据包。变量替换为你实际的PCAP文件路径。首先,确保你已经安装了。
Python解析PCAP文件
xiangxue888的博客
11-30 5391
Python解析PCAP文件
python十六进制转pcap文件_PCAP文件格式分析(做抓包软件之必备)
weixin_28687415的博客
01-29 1190
转载源:http://blog.csdn.net/anzijin/article/details/2008333http://www.ebnd.cn/2009/09/07/file-format-analysis-of-wireshark-pcap/前段时间因工作要求,需要对各种数据包进行分析和操作,内容涉及网路协议分析,socket,文件操作等。在此分享下学习和实践的经验。首先介绍下网络抓包、协...
python渗透编程之道
OldBowl
05-08 2325
1、学python 2、网络知识 3、渗透知识
关于《Python黑帽子:黑客与渗透测试编程之道》的学习笔记
Mi1k7ea
05-04 2万+
本篇文章是学习《Python黑帽子:黑客与渗透测试编程之道》的笔记,会持地将书上的代码自己敲一遍,从而让自己对Python的安全编程有更多的了解,同时希望各位可以给给建议,不足之处太多了。 第一章——设置Python环境: Kali Linux的安装就不说了,最近有更新为2017版的可以下载。 确认是否安装了正确的Python版本: 确认是2.7版本的即可。 接着安装P
wireshark抓包对应xml文件解析
学习应该是一个长链接
09-24 5119
最近在搭建内部平台的时候,需设计一个脚本,将pcap/pcapng文件转化成xml文件,并且需要从xml提取有效数据,将其插入Mongo数据库,实现语言为java,具体实现时引入了一些第三方库,最后生成一个auto.jar文件,因为jar文件可以很方便的被其他脚本直接调用,方便做一些自动化管理。 整个auto.jar的实现分为以下三部分: 1、 通过Process调用tshark命令,将pca
Netflow相关技术
lingshengxiyou的博客
11-04 2555
数据包是网络中传输的数据单位,每个数据段经过网络层层封装成为-个可以在网络中流动的包,从源头到达目的地之后,被目标设备层层解析出来,获得里面的数据。数据流是一个有序的数据包系列,它需要用一定的顺序进行读取。可以认为,数据流是一次活动包含的几个部分的信息的连接,例如TCP的三次握手。数据流中包含多个数据包,这些数据包具有共同的特点,就是IP五元组(源IP地址,源端口,目的IP地址,目的端口,传输层协议)相同。
python 解析pcap报文
06-06
本代码能对抓包工具抓下来的pcap包各个字段进行精确的解析,包括文件头,报文头,协议头,数据内容等的解析。。
利用Python库Scapy解析pcap文件的方法
09-19
今天小编就为大家分享一篇利用Python库Scapy解析pcap文件的方法,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
python分析pcap
12-04
利用Python快速分析数据包的完整性,提示数据包缺少步骤,按照源端口目的端口源ip和目的ip进行分流
Python按连接拆分pcap文件
10-31
Python按连接拆分pcap文件,将文件拆成一个一个的小包(按照连接)
python打开pcap文件_python读取pcap文件
weixin_39589693的博客
12-04 948
Ethertype(十六进制)协议0x0000-0x05DCIEEE802.3长度0x0101–0x01FF实验0x0600XEROXNSIDP0x06600x0661DLOG0x0800网际协议(IP)0x0801X.75Internet0x0802NBSInternet0x0803ECMAInternet0x0804Chaosnet0x0805X.25Level30x08...
python解析pcap包,python-用scapy读取PCAP文件
weixin_30628943的博客
03-26 1156
我有大约10GB的pcap数据和IPv6流量,用于分析存储在IPv6头和其他扩展头中的信息.为此,我决定使用Scapy框架.我尝试了rdpcap函数,但是对于如此大的文件,不建议这样做.它试图将所有文件加载到内存中并卡在我的情况下.我在网上发现在这种情况下建议使用嗅探器,我的代码如下所示:def main():sniff(offline='traffic.pcap', prn=my_method,...
利用 Python 解析pcap文件
最新发布
huakej_的博客
07-08 821
例如,在dpkt中,您可以使用dpkt.pcap.Reader.filter()方法来过滤数据包,在scapy中,您可以使用scapy.layers.l2.Ether()或scapy.layers.l3.IP()等过滤器来过滤数据包。例如,在dpkt中,您可以使用ts变量来获取数据包的起始时间,在scapy中,您可以使用pkt.time变量来获取数据包的起始时间。例如,在dpkt中,您可以使用dpkt.pcap.Writer()类来保存数据包,在scapy中,您可以使用wrpcap()函数来保存数据包。
pythonpcap原生python读取解析.pcap文件(非第三方库),太网分层
热门推荐
Hi mengdj
09-14 2万+
本文代码都由python编写,无需安装第三方拓展库,代码更新:https://github.com/mengdj/python tcp/ip协议 4层架构   .pcap文件是一种简单网络包记录文件,较它的升级版.pcapng简单多了 pcap结构图 可以看到.pcap文件,就由一个pcap文件头+无数个(pcap包头+包数据组成),我们只需要一个个解析即可,文件头用于描述.pcap...
python处理pcap文件_[转载]Python读取pcap文件
06-08
关于Python读取pcap文件,可以使用第三方库Scapy。Scapy是一个交互式的数据包处理程序,可以处理发送,嗅探,解码和伪造网络数据包。以下是一个简单的示例代码,可以读取pcap文件并打印出每个数据包的摘要信息: ``...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值