本文介绍了如何利用Python的scapy库及其扩展scapy-ssl_tls和scapy-http来解析wireshark或tcpdump捕获的pcap文件,特别是关注TLS扩展的处理。在Linux环境下安装这三个库,通过rdpcap()读取文件,haslayer()和getlayer()函数检查和获取特定层的数据。示例代码展示了如何处理TLSClientHello层并提取TLSExtension的类型。
针对wireshark或者tcpdump捕获的文件,使用python中的scapy库可以非常方便的进行解析,但是也存在一些坑。
scapy是一个非常强大的流量包操作工具,可以针对请求或者响应从tcp/Ip的各层进行处理,官方网址为:https://scapy.net。
但是需要注意一点的是单独的scapy库能做的工作有限,还有2个必须引进的库,即针对https进行解析的#
安装
这三个库最好在linux下进行安装,python的版本最好选择python2.7。
然后首先安装scapy-ssl_tls这个库,优先选择pip的安装方式:
pip install scapy-ssl_tls
它会自动安装上相应的依赖库,包括scapy。
最后安装上scapy-http即可,如果不按照这个方式安装,在安装scapy-ssl_tls可能会失败。
使用
scapy以及其他2个库都是开源软件,文档很少,如果要查看用法基本上都是直接查看代码,但是这3个库的源码包里都存在examples目录,里面有大量的例子,参照这些例子可以实现自己的逻辑。
下面列出一个关键的函数,参照这些函数可以基本上实现大部分逻辑。
rdpcap():读取pcap文件
show():展示当前类型包含的属性及值
haslayer():判断当前流是否含有某层数据
getlayer():根据条件获取数据
下面是解析pcap获取tls扩展的例子:
def processCap(fileName):
pac
最低0.47元/天 解锁文章
1094
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
