python数据包分析_packet_analysis: 数据包分析工具

最新推荐文章于 2024-06-22 10:30:53 发布
最新推荐文章于 2024-06-22 10:30:53 发布
阅读量821 收藏 3
点赞数
文章标签: python数据包分析

功能

读取pcap包,打印详细的icmp/tcp/udp协议

读取pcap包或网络接口

1. 打印详细的tcp会话/udp报文数据,目前支持mysql/pgsql/smtp/ftp/redis/mongodb认证协议解析,http/dns完整协议解析

2. IP数据包统计信息,用于监控网络异常流量

安装

pip install -r requirements.txt

mac

brew install libnids

linux

sudo apt-get install libnet1-dev libpcap-dev

git clone https://github.com/MITRECND/pynids.git

cd pynids

sudo python setup.py build

sudo python setup.py install

pip install dpkt

或者

git clone https://github.com/kbandla/dpkt.git

使用

读取pcap包,打印详细的icmp/tcp/udp协议

python print_pcap.py --help

python print_pcap.py --pcapfile=data/pcap_pub/http_gzip.pcap --assetport=80

详细使用可以参看Documents 二

读取pcap包或网络接口,打印详细的tcp会话数据

第二步: python print_tcp_session.py

详细使用可以参看Documents 十一 、 十二

Bugs

libnids

不支持ipv6格式的数据包

当server.yaml中配置为重组双向流量时

data_stream_direct: 2

只在tcp flag为RST或FIN时才会打印数据

不支持多进程

Documents

示例

python print_tcp_session.py

1. UDP-DNS协议详解

pcap_file: data/pcap_pub/dns/netforensics_evidence05.pcap

UDP-DNS 协议解析

{

"ts": 1268758265.098157,

"src_ip": "192.168.23.2",

"src_port": 53,

"dst_ip": "192.168.23.129",

"dst_port": 52499,

"header": {

"aa": 0,

"qr": 1,

"num_of_answers": 1,

"tc": 0,

"num_of_additional": 4,

"rd": 1,

"opcode": "QUERY",

"ra": 1,

"num_of_authority": 4,

"rcode": "NOERROR",

"id": 48291,

"num_of_questions": 1

},

"questions": [

{

"qclass": "IN",

"qtype": "A",

"qname": "freeways.in."

}

],

"answers": [

{

"ttl": 5,

"rname": "freeways.in.",

"rtype": "A",

"rclass": 1,

"rdata": "212.252.32.20"

}

],

"authority": [

{

"ttl": 5,

"rname": "freeways.in.",

"rtype": "NS",

"rclass": 2,

"rdata": "ns4.everydns.net."

}

],

"additional": [

{

"ttl": 5,

"rname": "ns4.everydns.net.",

"rtype": "A",

"rclass": 1,

"rdata": "208.76.60.100"

}

]

}

2. TCP-HTTP 协议详解

pcap_file: data/pcap_pub/cve/cve-2016-4971.pcap

{

"ts_start": 1467904494.307728,

"ts_end": 1467904494.392242,

"src_ip": "192.168.186.128",

"src_port": 41352,

"dst_ip": "192.168.186.128",

"dst_port": 80,

"req_method": "GET",

"req_uri": "/file",

"req_version": "1.1",

"req_headers": {

"user-agent": "Wget/1.17 (linux-gnu)",

"accept": "*/*",

"accept-encoding": "identity",

"host": "192.168.186.128",

"connection": "Keep-Alive"

},

"req_body": "",

"resp_version": "1.0",

"resp_status": "301",

"resp_reason": "Moved Permanently",

"resp_headers": {

"server": "SimpleHTTP/0.6 Python/2.7.12",

"date": "Thu, 07 Jul 2016 15:14:54 GMT",

"location": "ftp://anonymous@192.168.186.128:21/.wgetrc"

},

"resp_body": ""

}

3. IP 数据包元信息

数据包方向 时间戳 协议类型 源IP:源端口(IP归属地)(服务类型)目的IP:目的端口(IP归属地)(服务类型) 数据包大小

IN2017-08-18 13:23:41TCP58.217.200.117:14000(江苏省南京市-None-None-NONE)(scotty-ft)10.0.0.2:58747(局域网-None-None-NONE)(NONE)240

OUT2017-08-18 13:23:41TCP10.0.0.2:58747(局域网-None-None-NONE)(NONE)58.217.200.117:14000(江苏省南京市-None-None-NONE)(scotty-ft)40

备注: 14000(scotty-ft) 为微信、QQ发送语音文件的协议

python print_pcap.py

UDP报文

python print_pcap.py --pcapfile=data/pcap_pub/dns/dns.pcap

[UDP][1112201545.382005-03-30 16:52:25]217.13.4.24:53(00:12:a9:00:32:23) ----->192.168.170.56:1711(00:60:08:45:e4:55)ttl=58DATA_BINARY=76 63 85 83 00 01 00 00 00 00 00 00 05 47 52 49 4d 4d 0b 75 74 65 6c 73 79 73 74 65 6d 73 05 6c 6f 63 61 6c 00 00 01 00 01LEN=41

TCP报文

python print_pcap.py --pcapfile=data/pcap_pub/cve/httpoxy.pcap

[TCP] [1469135972.46 2016-07-21 21:19:32] 192.168.235.135:55034(00:0c:29:92:67:d7) ----->192.168.235.136:8080(00:0c:29:79:fd:94) SEQ=618963631 ACK=2424513936 FLAGS=['ACK', 'PSH'] WIN=229 DATA=GET /index.py HTTP/1.1

Host: 192.168.235.136:8080

User-Agent: curl/7.43.0

Accept: */*

Proxy: 192.168.235.135:11000

ICMP报文

[ICMP_Unreach][1500285748.082017-07-17 10:02:28]10.0.0.5:500(98:01:a7:9e:dd:c1) ----->10.0.0.2:63816(58:f3:9c:51:90:c7)3:3[host:port unreachable]ttl=43DATA_BINARY=LEN=0

联系

原博客 被封号了

新浪微博weibo

豆瓣读书 分享最近看的书籍

baidu网盘 分享一些网络安全资料(但基本很快就被删掉了)

weixin_39638304
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
python科学计算常用-python常用及功能介绍
weixin_39855706的博客
11-11 2277
1.NumPy数值计算NumPy是使用Python进行科学计算的基础,Numpy可以提供数组支持以及相应的高效处理函数,是Python数据分析的基础,也是SciPy、Pandas等数据处理和科学计算库最基本的函数功能库,且其数据类型对Python数据分析十分有用。它含:一个强大的N维数组对象复杂的(广播)功能用于集成C / C ++和Fortran代码的工具有用的线性代数,傅里叶变换和随机数功...
Mysql的max_allowed_packet设定
09-09
MySQL中的`max_allowed_packet`参数是一个非常重要的设置,它决定了MySQL服务器能够接收的最大数据包大小。这个设置在处理大数据操作,如导入大体积的数据文件、执行含大量数据的SQL语句时尤其关键。如果某个...
CVE 2019-0708 漏洞利用
qq_33391644的博客
09-02 540
首先确认kali是否已安装POC 没安装的操作步骤 一、首先git clone代码 git clone https://github.com/n1xbyte/CVE-2019-0708.git 二、进入CVE-2019-0708目录 cd CVE-2019-0708 三、安装需要的库 pip3 install impacket 四、执行POC攻击("192.168.1.106...
初用packetanalyzer
Zee的原创
02-03 1396
初用packetanalyzer
Python数据分析(超详细版)
最新发布
m0_62283350的博客
06-22 1681
DataFrame 是一个表格型的数据结构,它含有一组有序的列,每列可以是不同的值类型(数值、字符串、布尔型值)。如果DataFrame具有MultiIndex(分层),则级别数必须与右侧DataFrame中的连接键数匹配。NumPy(Numerical Python) 是 Python 语言的一个扩展程序库,支持大量的维度数组与矩阵运算,此外也针对数组运算提供大量的数学函数库。使用中括号取单个索引(此时返回的是元素类型),或者中括号里一个列表取多个索引(此时返回的是一个Series类型)。
pcap文件的python解析实例
热门推荐
Netfilter
07-23 7万+
最近一直在分析数据包。同时也一直想学python。凑一块儿了...于是,便开工了。座椅爆炸!正文首先要说的是,我知道python有很多解析pcap文件的库,这里不使用它们的原因是为了理解pcap文件的格式细节。使用tcpdump你可以很容易抓取到一系列的数据包,然而tcpdump并没有分析数据包的功能,如果想从这个抓文件中分析出一些端倪,比如重传情况,你必须使用wireshark之类的软件,用w
cappack.rar_pcap_pcap linux_pcap分析_网络数据包
09-14
它允许程序员编写应用程序来拦截和分析网络流量,是许多网络分析工具(如Wireshark)的基础。 在Linux环境下,首先需要确保系统已经安装了libpcap库。通常,可以通过执行以下命令来安装: ```bash sudo apt-get ...
1Generator.rar_300_matlab umts_matlab 数据包_packet generator
07-15
随机产生300个数据包数据包的输入和输出端口,顺序号,地址都为随机的。
网络数据包分析工具_抓_
10-01
在本项目中,我们关注的是使用C#语言实现的网络抓实例,这是一个网络数据包分析工具,可以帮助开发者和网络管理员理解网络流量,检测潜在的问题,并进行性能优化。 首先,"抓"(Packet Capture)是指在网络中...
数据分析_python网络封分析_
09-29
PCAP是网络封捕获的标准格式,广泛用于各种网络监控和分析工具,如Wireshark。它存储原始网络数据,含每个网络封的完整信息,如源和目标IP地址、端口号、传输的数据以及更多的元数据。 在Python中,我们可以...
下载恶意pcap的网站汇总
djph26741的博客
08-20 2085
说几个我经常用的,免费的:1. Malware Traffic Analysis: http://www.malware-traffic-analysis.net/2018/index.html 这个网站每天更新,主要是欧美地区的新鲜流行木马样本,基本上当天更新的马都很新~2.Virus Bay: https://beta.virusbay.io/ ...
python分析数据包_(转)python+scapy 抓与解析
weixin_39537049的博客
11-27 773
最近一直在使用做流量分析,今天把 scapy 部分做一个总结。 Python 的 scapy 库可以方便的抓与解析,无奈资料很少,官方例子有限,大神博客很少提及, 经过一番尝试后,总结以下几点用法以便大家以后使用。python scapy 抓与解析作为初学者,关心的首先是如何安装,本人电脑系统是 fedora, 建议使用 linux。 推荐下载 pip,直接:(当然得在 su 权限下)pip...
python实现——数据包分析
LainWith的博客
09-17 2143
需求分析 工作中经常会碰到设备大量告警,收到成百上千的取证,面对如此众多的数据包,如何确认这些取证是不是正确告警的结果呢?只能打开数据包分析看有没有相关攻击特征。由此,可以使用snort进行检测,但是如果经常出门在外,还要继续搭建snort环境吗?这就需要一种便捷化的工具,能根据我提供的特征去海量数据包中匹配,所以,我用python写了这么一款工具,并打成exe即可出门干活了。代码不大规范,见谅。 软件特点 你只需要提供存放数据包的文件夹和要检查的关键字即可。 脚本会检查提供的文件夹下的所有文件,对
常用python分析数据包pipinstallnumpy_python-简单运用数据分析(numpy、pandas、matplotlib)...
weixin_39687814的博客
12-11 285
一、numpy、1、下载pip install numpy导入import numpy as np -----np是约定俗称的2、ndarray-多维数组对象1)创建:np.array()2)多维数组列表数组对象内的元素类型必须相同,切大小不可修改3)属性属性描述T数组的转置dtype数组元素的数据类型size数组元素个数nadim数组的维数shape数组的维度大小(以元组的形式)4)数据类型b...
数据科学领域常用的五个Python
YEN_CSDN的博客
11-27 1万+
Numpy Numpy提供了两种基本的对象:ndarray和ufunc。ndarray是存储单一数据类型的多维数组,而ufunc是能够对数组进行处理的函数。Numpy的功能: N维数组,一种快速、高效使用内存的多维数组,他提供矢量化数学运算。 可以不需要使用循环,就能对整个数组内的数据进行标准数学运算。 非常便于传送数据到用低级语言编写(C\C++)的外部库,也便于外部库以Numpy数组形式返回数
python题库刷题网站_python在线刷题网站
weixin_39944638的博客
12-01 1万+
{"moduleinfo":{"card_count":[{"count_phone":1,"count":1}],"search_count":[{"count_phone":4,"count":4}]},"card":[{"des":"阿里技术人对外发布原创技术内容的最大平台;社区覆盖了云计算、大数据、人工智能、IoT、云原生、数据库、微服务、安全、开发与运维9大技术领域。","link1":...
python解析数据包
Nicholas的专栏
02-03 6036
tcp.py  复制代码代码如下: # -*- coding: cp936 -*- import socket from struct import * from time import ctime,sleep from os import system system('title tcp sniffer') system('color 05')
// TODO(eladalon): Consider using packet.recovered() to avoid processing // recovered packets here. std::unique_ptrForwardErrorCorrection::ReceivedPacket FlexfecReceiver::AddReceivedPacket(const RtpPacketReceived& packet) { RTC_DCHECK_RUN_ON(&sequence_checker_); // RTP packets with a full base header (12 bytes), but without payload, // could conceivably be useful in the decoding. Therefore we check // with a non-strict inequality here. RTC_DCHECK_GE(packet.size(), kRtpHeaderSize); // Demultiplex based on SSRC, and insert into erasure code decoder. std::unique_ptrForwardErrorCorrection::ReceivedPacket received_packet( new ForwardErrorCorrection::ReceivedPacket()); received_packet->seq_num = packet.SequenceNumber(); received_packet->ssrc = packet.Ssrc(); if (received_packet->ssrc == ssrc_) { // This is a FlexFEC packet. if (packet.payload_size() < kMinFlexfecHeaderSize) { RTC_LOG(LS_WARNING) << "Truncated FlexFEC packet, discarding."; return nullptr; } received_packet->is_fec = true; ++packet_counter_.num_fec_packets; // Insert packet payload into erasure code. received_packet->pkt = rtc::scoped_refptr<ForwardErrorCorrection::Packet>( new ForwardErrorCorrection::Packet()); received_packet->pkt->data = packet.Buffer().Slice(packet.headers_size(), packet.payload_size()); } else { // This is a media packet, or a FlexFEC packet belonging to some // other FlexFEC stream. if (received_packet->ssrc != protected_media_ssrc_) { return nullptr; } received_packet->is_fec = false; // Insert entire packet into erasure code. // Create a copy and fill with zeros all mutable extensions. received_packet->pkt = rtc::scoped_refptr<ForwardErrorCorrection::Packet>( new ForwardErrorCorrection::Packet()); RtpPacketReceived packet_copy(packet); packet_copy.ZeroMutableExtensions(); received_packet->pkt->data = packet_copy.Buffer(); } ++packet_counter_.num_packets; return received_packet; } 各行意义
07-22
- 第22行:如果received_packet的ssrc和受保护的媒体SSRC不相等,则表示这是一个媒体数据包或属于其他FlexFEC流的FlexFEC数据包,返回空指针。 - 第24行:设置received_packet的is_fec成员变量为false,表示这是一个...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值