C语言将IP保存为pcap程序,使用Lua脚本对pcap文件进行切流操作

最新推荐文章于 2023-07-07 15:34:38 发布
最新推荐文章于 2023-07-07 15:34:38 发布
阅读量330 收藏
点赞数
文章标签: C语言将IP保存为pcap程序

本文主要讲述如何使用Lua以及wireshark提供的API接口,来实现切流的操作。本质是利用wireshark的强大功能快速的实现报文级操作。

在这篇文章中说了如何使用tshark写切流的脚本。总的来说效率低下,主要原因是使用tshark我无法做到报文级操作(如果你知道,请告诉我),只能整个整个数据包的读取,然后根据过滤条件整个报文输出。对于一个pcap文件需要多次遍历,pcap报文中有几条流,就要读取遍历报文几次,时间复杂度高。如遇p2p报文,耗时太长。

使用C语言libpcap解析pcap报文,加上glib实现流管理,也是可以做到只历一遍报文。这里面使用Lua,其一是因为wireshark提供了强大的报文、流管理以及过滤器的功能,可以加以利用;其二是因为使用Lua脚本能够快速的构建和实现特定的小功能。

在网站https://www.wireshark.org/docs/wsdg_html_chunked/的第11章中说明了wireshark给Lua提供的API接口。本次主要应用到里面的Dumper,Field,Listener三个类。Dumper主要作用是写文件,Field主要作用是获取wireshark提供的各种报文属性,Listenser是一个监听器,监听符合过滤规则的报文。具体的用法参考网站的说明。以下便是完成的Lua脚本:

local getTcpStream =Field.new("tcp.stream")

local getSrcIp =Field.new("ip.src")

local getDstIp =Field.new("ip.dst")

local getSrcPort =Field.new("tcp.srcport")

local getDstPort =Field.new("tcp.dstport")

local getIpVersion =Field.new("ip.version")

local tcpStreamTable = {}--每一条流的索引哈希表

local dataWriterTable = {}--每一条流的dumper

do

local function packet_listener()

local tap =Listener.new("frame", "tcp.port == 443")

--frame是监听器的名称,tcp是wireshark过滤器规则

function tap.reset()

print("tap reset")

end

function tap.packet(pinfo,tvb)

--回调函数,每收到一个包执行一次。

local tcpStream = getTcpStream()

local srcIp = getSrcIp()

local dstIp = getDstIp()

local srcPort = getSrcPort()

local dstPort = getDstPort()

local ipVersion = getIpVersion()

local tcpStreamNumber =tonumber(tostring(tcpStream))

if(tcpStreamTable[tcpStreamNumber])

then

dataWriterTable[tcpStreamNumber]:dump_current()

else

local packetTuple4 =tostring(tcpStream).."_"..tostring(srcIp).."_"..tostring(srcPort).."_"..tostring(dstIp).."_"..tostring(dstPort).."_"..tostring(ipVersion)..".pcap"

tcpStreamTable[tcpStreamNumber] =tcpStream

dataWriterTable[tcpStreamNumber] =Dumper.new(packetTuple4)

dataWriterTable[tcpStreamNumber]:dump_current()

--print(type(tcpStreamTable[tcpStreamNumber]),type(tcpStreamNumber),type(dataWriterTable[tcpStreamNumber]),type(tcpStreamTable))

end

end

function tap.draw()

--结束执行

print("tap.draw")

end

end

--监听报文

packet_listener()

--tcpStreamTable =nil

end

我是在windows上面执行上述写好的lua脚本的,将lua脚本放到C:\ProgramFiles\Wireshark目录下面,然后cmd到该目录下面,执行命令tshark-X lua_script:cut_flow.lua -r file_name.pcap,Linux上面的话是需要安装lua,重新编译wireshark的。最终切出的pcap报文名称是以流号+四元组+IP版本号命名的。

weixin_39956036
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
使用 wireshark lua 脚本pcap文件进行切流操作
村中少年的专栏
01-20 3311
本文主要讲述如何使用Lua以及wireshark提供的API接口,来实现切流操作
pcap文件的rtp包中提取264码流并保存c语言)202087rtph264.rar
08-07
pcap文件的rtp包中提取264码流并保存,用udp传输的rtp包,解析pcap文件,并且发布同名博客介绍这个小程序,主要介绍rtp包数据的提取,需要用自己的pcap文件和src端口号运行程序,记得修改
基于Lua插件化的Pcap流量监听代理
weixin_34364135的博客
09-13 190
1.前言 我们在实际工作中,遇到了一个这样的用例,在每天例行扫描活动中,发现有些应用系统不定期的被扫挂,因为我们不是服务的制造者,没有办法在不同的系统里打印日志,所以我们就想用一个工具来获取特定服务的输入数据流。我们如果不在IDS上看应用的服务,可以直接针对服务所在服务位置,针对应用端口进行,有针对性的监听分析。 Tshark和tcpdump、windump这些监听工具提供了比较丰富的命令行参数来...
C语言IP保存pcap程序,如何将PCAP文件中的IP地址更改为字符串
weixin_39881155的博客
05-25 259
我需要将一些PCAP文件存档并与不知道PCAP中各种IP地址是指什么的人共享。所以我想找到一种方法来编辑PCAP文件并更改IP地址,使它们在Wireshark中显示为fqdn或随机字符串。例如,“server.a.some.domain”或“servera”而不是192.168.x.x。这样人们就可以理解流量,而无需询问每个IP是什么。我可以使用名称解析功能在wireshark中手动实现这一点,但...
tshark+lua 实现解析 xxx.pcapng报文数据,并写入到文件
最新发布
qq_42969422的博客
07-07 436
tshark+lua 解析 xxx.pcapng生成csv文件
使用Lua脚本pcap文件进行切流操作
carrots
05-15 1670
本文主要讲述如何使用Lua以及wireshark提供的API接口,来实现切流操作。本质是利用wireshark的强大功能快速的实现报文级操作。   在这篇文章中说了如何使用tshark写切流脚本。总的来说效率低下,主要原因是使用tshark我无法做到报文级操作(如果你知道,请告诉我),只能整个整个数据包的读取,然后根据过滤条件整个报文输出。对于一个pcap文件需要多次遍历,pcap报文中
python 抓包保存pcap文件解析的实例
09-19
Python在网络安全领域中被广泛用于数据包的抓取和分析,本实例主要讲解如何使用Python的Scapy库来抓包并保存pcap文件,以及后续如何解析这些pcap文件。 首先,我们要导入必要的模块,包括`os`用于文件操作,以及...
利用scapy等模块进行流量包的抓取并保存pcap文件
08-19
利用scapy等模块进行流量包的抓取并保存pcap文件,过滤语法为BPF
pcap文件处理为csv文件,并根据协议类型分开保存
08-19
需要三个空白文件夹,一个存放数据包,一个存放解析时的json文件,还有一个存放最终的csv文件,并且最终制成数据集的形式
异常检测:帮助检测pcap文件中异常的脚本使用tensorflow和tshark进行异常检测
02-04
使用张量流和tshark的无监督异常检测使用张量流使用自动编码器神经网络进行无监督学习。 请参阅使用tensorflow和tshark的监督异常检测Script to help to detect anomalies in pcap file.Using tensorflow neural ...
C# 基于SharpPcap做的抓以太网报文并保存pcapng文件
03-30
最新版本的SharpPcap(4.2.0.0)版本里面已经没有PcapDumpOpen函数,不能直接调用PcapDumpOpen把抓包保存文件。新版本使用了CaptureFileWriterDevice类做保存抓包的功能,本demo实现了打开以太网,设置混杂模式,然后创建CaptureFileWriterDevice对象,把抓到的报文通过CaptureFileWriterDevice对象保存pcapng文件里面,这样就可以使用wireshark来分析抓到的报文了。vs2008工程,全部源代码,可编译和测试。
wireshark lua 插件 解析提取网络报文传输内容(文本,多媒体,等信息)
12-14
1. windows 下 安装 wiresshark (2.2.6测试没有问题)版本最好是最新的版本 老版本好像会报一个tshark错误 2. 安装好wiresshark后的目录(**/**/Wireshark)下创建一个 lua 文件夹。把root3.0放在当前文件夹下 并解压 3. 在wiresshark目录下 init.lua 文件目录添加上一行 dofile(DATA_DIR.."lua/robotV3_0/robot.lua") 4. 最好用tshark 命令读包。 tshark.exe -q -r 报文路径 注意: windows 下最好是不用的时候把 init.lua dofile(DATA_DIR.."lua/robotV3_0/robot.lua") 这行注释掉。要不然会产生很多文件拖延文件打开速度 {liunx 下也可以 不过要加上一个环境变量。否则会报找不到文件。具体的太久了忘记了!!}
封装并发送IP数据包
02-17
计算机网络 封装并发送IP数据包 C语言实现
C++实现IP数据包解析程序
05-04
C++语言实现IP数据包解析程序程序注释很详细。
wireshark_lua:用于wireshark的LUA脚本
05-31
lua文件 Wireshark 的 LUA 扩展,用于打印服务器处理 NFS 请求所花费的时间。 用法: # for life capture $ tshark -q -X lua_script:nfs.lua -f " port 2049 " # or if nfs trafic is not on a standard port ( pNFS DS ) $ tshark -q -X lua_script:nfs.lua -f " port 32049 " -d tcp.port==32049,rpc # for read from existing capture file capture file $ tshark -q -r nfs.dump -X lua_script:nfs.lua # or if you need to avoid temp files $ dumpca
使用 wireshark lua 插件对 PCAP 报文实施批量增删改查
村中少年的专栏
05-09 1340
我的gitchat-如何利用 Wireshark 对 PCAP 报文实施批量增删改查
c语言判断pcap文件结尾,PCAP文件扩展名 - 什么是.pcap以及如何打开? - ReviverSoft...
weixin_39615219的博客
05-26 314
你在这里因为你有,有一个文件扩展名结尾的​​文件.pcap.文件文件扩展名.pcap只能通过特定的应用程序推出。这有可能是.pcap文件是数据文件,而不是文件或媒体,这意味着他们并不是在所有观看。什么是一&nbsp.pcap&nbsp文件?该.pcap文件扩展名主要使用Wireshark相关;用于分析网络的程序。 .pcap文件使用程序创建的数据文件,并且它们包含的...
捕获ip数据包c语言原理,捕获TCP/IP协议栈数据包的原理
weixin_32903229的博客
05-23 1115
本文转载自微信公众号「编程杂技」,作者 theanarkh 。转载本文请联系编程杂技公众号。wireshark或tcpdump相信大家都用过,这些工具看起来都很酷,因为我们平时都是在界面看到应用层的数据,这些工具居然可以让我们看到tcp/ip协议栈每层的数据。本文介绍一下查看tcp/ip协议栈数据的方法。并实现一个简陋的sniffer,通过nodejs暴露出来使用。我们先看实现。#includ...
使用Lua脚本为wireshark编写自定义通信协议解析器插件
热门推荐
曾梦想仗剑走天涯
10-28 3万+
使用Lua脚本为wireshark编写自定义通信协议解析器插件
请用C语言实现指定网卡指定端口及限制大小抓包的pcap程序,并将抓到的包保存pcap文件
06-08
好的,以下是一个修改后的示例代码: ``` #include <stdio.h> #include <stdlib.h> #include <pcap.h> void packet_handler(u_char *user, const struct pcap_pkthdr *h, const u_char *bytes); int main(int argc, char *argv[]) { char *dev = argv[1]; // 指定网卡 char errbuf[PCAP_ERRBUF_SIZE]; pcap_t *handle; struct bpf_program fp; bpf_u_int32 mask; bpf_u_int32 net; if (pcap_lookupnet(dev, &net, &mask, errbuf) == -1) { fprintf(stderr, "Can't get netmask for device %s\n", dev); net = 0; mask = 0; } handle = pcap_open_live(dev, BUFSIZ, 1, 1000, errbuf); // 打开网卡 if (handle == NULL) { fprintf(stderr, "Couldn't open device %s: %s\n", dev, errbuf); exit(1); } if (pcap_compile(handle, &fp, "port 80", 0, net) == -1) { // 指定端口 fprintf(stderr, "Couldn't parse filter %s: %s\n", "port 80", pcap_geterr(handle)); exit(1); } if (pcap_setfilter(handle, &fp) == -1) { // 应用过滤器 fprintf(stderr, "Couldn't install filter %s: %s\n", "port 80", pcap_geterr(handle)); exit(1); } pcap_dumper_t *dumper; char filename[] = "capture.pcap"; dumper = pcap_dump_open(handle, filename); // 打开pcap文件 if (dumper == NULL) { fprintf(stderr, "Couldn't open file %s: %s\n", filename, pcap_geterr(handle)); exit(1); } pcap_loop(handle, 10, packet_handler, (u_char *)dumper); // 抓10个包 pcap_dump_close(dumper); // 关闭pcap文件 pcap_close(handle); return 0; } void packet_handler(u_char *user, const struct pcap_pkthdr *h, const u_char *bytes) { pcap_dump((u_char *)user, h, bytes); // 将捕获的数据包写入pcap文件 } ``` 这个程序可以捕获指定网卡上的端口为80的数据包,并且限制捕获大小为BUFSIZ。同时,它还会将捕获到的数据包写入名为"capture.pcap"的pcap文件中。你可以根据自己的需求修改端口和捕获大小的设置,以及修改保存文件名。同时,你需要定义一个 packet_handler 函数来将捕获的数据包写入pcap文件

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值