读pcap报文

最新推荐文章于 2023-05-18 10:52:20 发布
最新推荐文章于 2023-05-18 10:52:20 发布
阅读量538 收藏
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_40676393/article/details/105708635
版权

import os
import re
import codecs
import struct
‘’’
一、pcap文件的格式为:
文件头 24字节
数据报头 + 数据报 数据包头为16字节,后面紧跟数据报
数据报头 + 数据报 …
pcap.h里定义了文件头的格式
二、文件头字段
struct pcap_file_header
{
bpf_u_int32 magic;
u_short version_major;
u_short version_minor;
bpf_int32 thiszone;
bpf_u_int32 sigfigs;
bpf_u_int32 snaplen;
bpf_u_int32 linktype;
}
说明:

1、标识位:32位的,这个标识位的值是16进制的 0xa1b2c3d4。
a 32-bit magic number ,The magic number has the value hex a1b2c3d4.
2、主版本号:16位, 默认值为0x2。
a 16-bit major version number,The major version number should have the value 2.
3、副版本号:16位,默认值为0x04。
a 16-bit minor version number,The minor version number should have the value 4.
4、区域时间:32位,实际上该值并未使用,因此可以将该位设置为0。
a 32-bit time zone offset field that actually not used, so you can (and probably should) just make it 0;
5、精确时间戳:32位,实际上该值并未使用,因此可以将该值设置为0。
a 32-bit time stamp accuracy field tha not actually used,so you can (and probably should) just make it 0;
6、数据包最大长度:32位,该值设置所抓获的数据包的最大长度,如果所有数据包都要抓获,将该值设置为65535;例如:想获取数据包的前64字节,可将该值设置为64。
a 32-bit snapshot length" field;The snapshot length field should be the maximum number of bytes perpacket that will be captured. If the entire packet is captured, make it 65535; if you only capture, for example, the first 64 bytes of the packet, make it 64.
7、链路层类型:32位, 数据包的链路层包头决定了链路层的类型。
a 32-bit link layer type field.The link-layer type depends on the type of link-layer header that the
packets in the capture file have:

三、packet数据包头:

struct pcap_pkthdr
{
struct tim ts;
DWORD caplen;
DWORD len;
}

struct tim
{
DWORD GMTtime;
DWORD microTime
}
1、时间戳,包括:
秒计时:32位,一个UNIX格式的精确到秒时间值,用来记录数据包抓获的时间,记录方式是记录从格林尼治时间的1970年1月1日 00:00:00
到抓包时经过的秒数;
微秒计时:32位, 抓取数据包时的微秒值。
a time stamp, consisting of:
a UNIX-format time-in-seconds when the packet was captured, i.e. the number of seconds since January 1,
1970, 00:00:00 GMT (that GMT, NOT local time!);
the number of microseconds since that second when the packet was captured;

2、数据包长度:32位 ,标识所抓获的数据包保存在pcap文件中的实际长度,以字节为单位。
a 32-bit value giving the number of bytes of packet data that were captured;

3、数据包实际长度: 所抓获的数据包的真实长度,如果文件中保存不是完整的数据包,那么这个值可能要比前面的数据包长度的值大。
a 32-bit value giving the actual length of the packet, in bytes (which may be greater than the previous number,
if you are not saving the entire packet).
‘’’
global search_word
search_word = b’\x01\x01\x01\x0D\x00\x0A\x00\x00\x00\x01\x00\x04\x00\x00\x00\x00\x00\x03\x00\x04\xC0\xA8\x65\x1D\x00\x04\x00\x04\xC0\xA8\x64\x1F\x00\x05\x00\x02\xCA\xEC\x00\x06\x00\x02\x05\xF1\x00\x07\x00\x04\x5E\x78\x14\x1A\x00\x5B\x00\x01\x02\x00\x5D\x00\x02\x00\x02\x00\x11\x00\x02\x00\x03\x00\x43\x00\x78\x28\x20\x3A\x70\x61\x72\x61\x6D\x36\x20\x2C\x31\x2C\x31\x30\x30\x30\x29\x2C\x20\x3A\x70\x61\x72\x61\x6D\x37\x20\x2C\x20\x3A\x70\x61\x72\x61\x6D\x38\x20\x2C\x20\x3A\x70\x61\x72\x61\x6D\x39\x20\x2C\x20\x3A\x70\x61\x72\x61\x6D\x31\x30\x20\x2C\x20\x3A\x70\x61\x72\x61\x6D\x31\x31\x20\x2C\x20\x3A\x70\x61\x72\x61\x6D\x31\x32\x20\x2C\x20\x3A\x70\x61\x72\x61\x6D\x31\x33\x20\x2C\x20\x3A\x70\x61\x72\x61\x6D\x31\x34\x20\x2C\x20\x3A\x70\x61\x72\x61\x6D\x31\x35\x20\x2C\x31\x29\x00\x00\x00\x00\x44\x00\x18\x32\x31\x38\x36\x35\x30\x39\x36\x36\x35\x31\x35\x38\x34\x39\x32\x36\x39\x37\x38\x00\x00\x00\x00\x00\x45\x00\x08\x53\x55\x43\x43\x45\x53\x53\x00\x00\x5C\x00\x18\x30\x32\x30\x35\x30\x30\x32\x39\x64\x31\x34\x31\x30\x30\x30\x35\x31\x36\x39\x30\x30\x35\x00\x00\x00\x71\x00\x04\x31\x00\x00\x00’
class pcap():
def init(self, file):
self.file = file
self.i=self.file.split(’/’)[-1].split(’.’)[0]# 取路径中的文件名
self.file_pcap=open(‘D:/python/pcap1/target_{}.pcap’.format(self.i),‘ab+’)
def db_log(self):
#search_word = b’\x01\x01\x01\x0D\x00\x0A\x00\x00\x00\x01\x00\x04\x00\x00\x00\x00\x00\x03\x00\x04\xC0\xA8\x65\x1D\x00\x04\x00\x04\xC0\xA8\x64\x1F\x00\x05\x00\x02\xCA\xEC\x00\x06\x00\x02\x05\xF1\x00\x07\x00\x04\x5E\x78\x14\x1A\x00\x5B\x00\x01\x02\x00\x5D\x00\x02\x00\x02\x00\x11\x00\x02\x00\x03\x00\x43\x00\x78\x28\x20\x3A\x70\x61\x72\x61\x6D\x36\x20\x2C\x31\x2C\x31\x30\x30\x30\x29\x2C\x20\x3A\x70\x61\x72\x61\x6D\x37\x20\x2C\x20\x3A\x70\x61\x72\x61\x6D\x38\x20\x2C\x20\x3A\x70\x61\x72\x61\x6D\x39\x20\x2C\x20\x3A\x70\x61\x72\x61\x6D\x31\x30\x20\x2C\x20\x3A\x70\x61\x72\x61\x6D\x31\x31\x20\x2C\x20\x3A\x70\x61\x72\x61\x6D\x31\x32\x20\x2C\x20\x3A\x70\x61\x72\x61\x6D\x31\x33\x20\x2C\x20\x3A\x70\x61\x72\x61\x6D\x31\x34\x20\x2C\x20\x3A\x70\x61\x72\x61\x6D\x31\x35\x20\x2C\x31\x29\x00\x00\x00\x00\x44\x00\x18\x32\x31\x38\x36\x35\x30\x39\x36\x36\x35\x31\x35\x38\x34\x39\x32\x36\x39\x37\x38\x00\x00\x00\x00\x00\x45\x00\x08\x53\x55\x43\x43\x45\x53\x53\x00\x00\x5C\x00\x18\x30\x32\x30\x35\x30\x30\x32\x39\x64\x31\x34\x31\x30\x30\x30\x35\x31\x36\x39\x30\x30\x35\x00\x00\x00\x71\x00\x04\x31\x00\x00\x00’
#b’\x61\x6d\x31\x30\x20\x2c\x20\x3a\x70\x61\x72\x61\x6d\x31\x31\x20’
#35 33 39 2D 65 63 34 63 2D 34 31 36 31 2D 39 35 66 31
magic_number = b’\xd4\xc3\xb2\xa1’
f=open(self.file,‘rb’)
pcap_file = f.read()

	pcap_file_header=pcap_file[0:24]
	self.file_pcap.write(pcap_file_header)
	#print(srcbytearr.find(magic_number,0))
	#print(srcbytearr)
	#print(srcbytearr[0:36])
	#print(srcbytearr[16:20])
	#packet_len=struct.unpack('I',pcap_file[32:36])[0]
	#print(srcbytearr[36:40])

	#startindex=0
	j=24
	len1=24
	len2=0
	#print(len(pcap_file))
	while (j<len(pcap_file)) :
		packet_len=struct.unpack('I',pcap_file[j+12:j+16])[0]
		print(packet_len)
		len2=len1+16+packet_len
		print(len1)
		print(len2)
		s=pcap_file[len1:len2]
		#print(s.hex())
		targetindex_time1 = s.find(search_word,0)
		if targetindex_time1 == -1:
			print('00000000000')
			len1=len2
			j=len2 
			continue
		else:
			self.file_pcap.write(s)					
		len1=len2
		j=len2
		print(len2)
		print('1111111111111')

class file():
def init(self, file):
self.file = file
def search_file(self):
#search_word = b’\x01\x01\x01\x0D\x00\x0A\x00\x00\x00\x01\x00\x04\x00\x00\x00\x00\x00\x03\x00\x04\xC0\xA8\x65\x1D\x00\x04\x00\x04\xC0\xA8\x64\x1F\x00\x05\x00\x02\xCA\xEC\x00\x06\x00\x02\x05\xF1\x00\x07\x00\x04\x5E\x78\x14\x1A\x00\x5B\x00\x01\x02\x00\x5D\x00\x02\x00\x02\x00\x11\x00\x02\x00\x03\x00\x43\x00\x78\x28\x20\x3A\x70\x61\x72\x61\x6D\x36\x20\x2C\x31\x2C\x31\x30\x30\x30\x29\x2C\x20\x3A\x70\x61\x72\x61\x6D\x37\x20\x2C\x20\x3A\x70\x61\x72\x61\x6D\x38\x20\x2C\x20\x3A\x70\x61\x72\x61\x6D\x39\x20\x2C\x20\x3A\x70\x61\x72\x61\x6D\x31\x30\x20\x2C\x20\x3A\x70\x61\x72\x61\x6D\x31\x31\x20\x2C\x20\x3A\x70\x61\x72\x61\x6D\x31\x32\x20\x2C\x20\x3A\x70\x61\x72\x61\x6D\x31\x33\x20\x2C\x20\x3A\x70\x61\x72\x61\x6D\x31\x34\x20\x2C\x20\x3A\x70\x61\x72\x61\x6D\x31\x35\x20\x2C\x31\x29\x00\x00\x00\x00\x44\x00\x18\x32\x31\x38\x36\x35\x30\x39\x36\x36\x35\x31\x35\x38\x34\x39\x32\x36\x39\x37\x38\x00\x00\x00\x00\x00\x45\x00\x08\x53\x55\x43\x43\x45\x53\x53\x00\x00\x5C\x00\x18\x30\x32\x30\x35\x30\x30\x32\x39\x64\x31\x34\x31\x30\x30\x30\x35\x31\x36\x39\x30\x30\x35\x00\x00\x00\x71\x00\x04\x31\x00\x00\x00’
#list_file=[]
f1=open(self.file,‘rb’)
srcbytearr = f1.read()
startindex=0
while True :
targetindex_time = srcbytearr.find(search_word,startindex)
if targetindex_time == -1:
return -1
break
#startindex=targetindex_time+21
#targetindex_time2 = srcbytearr.find(indxbytearr_time2,startindex)
# break
else:
return self.file
break

if name == ‘main’:
list1=[]
#第一次循环查找匹配的文件
for fpathe,dirs,fs in os.walk(‘D:/python/pcap/’):#路径可修改
for fl in fs:
print(fl)
s=file(os.path.join(fpathe,fl))
if s.search_file() != -1:
list1.append(s.search_file())
print(list1)
#根据第一次查找的文件,针对文件中的每个报文匹配查找,并把找到的报文保存
for fl in list1:
print(fl)
s=pcap(os.path.join(fpathe,fl))
s.db_log()
写自定义目录标题)

游青
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
pcap文件中数据并组播
photon222的博客
09-03 286
#include <stdio.h> #include <stdlib.h> #include <string.h> #include <arpa/inet.h> #include <netinet/in.h> #include <stdio.h> #include <stdlib.h> #include <string.h> #include <sys/socket.h> #include &lt
Pcap获取报文
bdn_nbd的博客
03-10 865
pcap使用指南
pythonpcap文件 起始位置_pythonpcap文件(续2)
weixin_39636176的博客
12-04 439
从今天开始准备试一试对pcap文件数据报的协议解析。首先从最简单的以太网层开始。我们知道,目前常用的以太网帧结构有两种,一个是IEEE802.3,一个是EthernetII,两者的区别也很清楚,就是在目的Mac地址和源Mac地址好后面的两个字节是代表长度还是类型。EtherType是以太帧里的一个字段,用来指明应用于帧数据字段的协议。根据 IEEE802.3,Length/EtherType字段是...
pcap文件格式解
xingxing_lyx的专栏
04-29 1530
pcap格式, 常用的文件格式, 采用tcpdump或者wireshark得到的文件格式. pcap文件的组成如下:   Global Header Packet Header Packet Data Packet Header Packet Data Packet Header Packet Data ...
pcap4j 实现本地抓包以及解析DNS
09-10
前段时间搞抓包程序,使用Pcap4J实现,简单写了一个demo小程序,有需要的下。
pcap报文回放工具
04-22
window下pcap文件的回放工具,基于python scapy、pyqt5开发。需要源码的请私信。
python 解析pcap报文
06-06
本代码能对抓包工具抓下来的pcap包各个字段进行精确的解析,包括文件头,报文头,协议头,数据内容等的解析。。
FTP的pcap报文
03-25
可以用于协议逆向的FTP报文包,该报文包是来源于Lawrence Berkeley National Laboratory during a ten-day period,LBNL-FTP-PKT。
5G MAC层PCAP报文
最新发布
05-24
5G MAC层PCAP报文
linux pcap 报文 解析 报头剥离
04-30
pcapedit 程序可对pcap报文进行报文过滤,剥离部分包头及打标签功能。 支持通过pcap.conf配置文件设置标签内容及长度。 程序启动时,会导入配置文件中的标签内容,之后会将pcap包中的每个数据包末尾都打上该标签。...
pcap包解析
热门推荐
txb0504的博客
04-02 1万+
pacp包解析 在接触激光雷达的时候,不可避免的第一步就是看硬件说明书以及调试厂商发的样例数据。一般情况下,厂商在存储硬件的数据包的时候,都是通过存储pacp包实现的,所以如何取pacp包,并从中解析出真正有用的数据就变得很重要,接下来我们一步步讲。 1.pacp包结构 一个Pcap文件包括“Pcap报头”,“数据区”两个部分,其中数据区又分成多个数据包,每个包有报头和数据两个部分,总体结构可见...
网络安全系列-二十五: PCAP文件格式详解及PCAP文件源码示例
penriver的博客
05-14 5859
在Linux里,pcap是一种通用的数据流格式,是用于保存捕获的网络数据的一种非常基本的格式。 很多开源的项目都使用这种数据格式,如wireshark、tcpdump、scapy、snort 本文针对pcap的文件格式进行详解,并提供pcap文件的源代码示例
pcap大文件,过滤指定IP的报文
游青的博客
12-09 891
pcap大文件,过滤指定IP的报文
pcap文件解析
qq_40878398的博客
08-18 1万+
pcap文件解析 1. pcap简介: pcap文件是一种常用的数据报存储文件,这种文件可以保存我们所抓到的报文。它有这固定的存储格式,通过notepad++中的插件Hex-Editor我们可以观察其中的16进制数据,从而来进行pcap文件的分析。 2. Pcap文件格式: pcap文件格式如图所示: 以24字节的Pcap Header开头: 随后跟上每一个报文的相关信息: Packet Header:记录报文信息 Packet Data:记录报文数据 3. pcap Header // pc
Pcap包的包头与负载解析,制作数据集
weixin_45154431的博客
11-24 3364
pcap文件是常用的数据报存储格式,可以理解为就是一种文件格式,只不过里面的数据是按照特定格式存储的,所以我们想要解析里面的数据,也必须按照一定的格式。普通的记事本打开pcap文件显示的是乱码,用安装了HEX-Editor插件的Notepad++打开,能够以16进制数据的格式显示,用wireshark这种抓包工具就可以正常打开这种文件,愉快地查看里面的网络数据报了,同时wireshark也可以生成这种格式的文件。当然这些工具只是我经常使用的,还有很多其它能够查看pcap文件的工具。
pcap文件格式及文件解析
03-26 964
pcap文件格式及文件解析 第一部分:PCAP包文件格式 一基本格式: 文件头数据包头数据报数据包头数据报...... 二、文件头: 文件头结构体 sturctpcap_file_header { DWORDmagic; DWORDversion_major; DWORD...
解析pcap文件及取实现源码
Luo Bin
01-24 1万+
pcap文件的格式为:   文件头    24字节   数据报头 + 数据报  数据包头为16字节,后面紧跟数据报   数据报头 + 数据报  ...... pcap.h里定义了文件头的格式 struct pcap_file_header {         bpf_u_int32 magic;         u_short version_major;         u_sh
C语言取DHCP数据包(pcap文件)内容
sakura0908的博客
05-18 1839
/pacp文件头结构体//识别文件和字节顺序:小端/大端模式//主版本号//次版本号//当地的标准时间//时间戳精度//最大的存储长度//链路类型//时间戳//时间戳高位,精确到seconds//时间戳地位,精确到microseconds//pcap数据包头结构体//捕获时间//数据帧/区的长度//离线数据长度//数据链路层数据//源MAC地址//目的MAC地址//帧类型}DL_Header;//IP数据报头//版本+报头长度u_int8 TOS;
pcap文件分析-上之wireshark工具使用
cloud 的学习时代
09-20 1万+
1.pcap文件格式说明 pcap文件格式是常用的数据报文存储格式,主流抓包软件,如wireshark、tcpdump等都支持这种格式。 其具体格式为:     pcap文件头 + { 数据报文信息 + 数据报文 }+ 通过查看pcap.h文件,可以知道pcap文件头的具体格式(24字节): struct pcap_file_header {         bpf_
如何修改pcap报文payload长度
05-30
要修改 pcap 报文的 payload 长度,您可以使用 tcprewrite 工具中的 --fixlen 选项。该选项可以使所有数据包的 payload 长度等于指定的长度。以下是使用 tcprewrite 修改 pcap 报文 payload 长度的命令: ``` ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值