Pcap包按相同五元组信息提取流量

已于 2023-01-07 18:02:59 修改
阅读量1.5k 收藏 25
点赞数
分类专栏: 网络安全 文章标签: python 网络安全 网络协议
于 2023-01-07 16:23:11 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45154431/article/details/128591830
版权

我们将网络流量分类的输入空间分为三类:分组分类(Packet Classification,PC)、流量内容分类(Flow Content Classification,FCC)和流量时间序列分类(Flow Time Series Classification,FTSC)。
按照流量内容进行分类,是将一个流的前n个数据包的字节序列提取出来。
网络流量由双向流和数据包组成,它们是网络流量分类的常用对象。每个数据包由多个报头文件和一个存在应用程序数据的有效负载组成。我们通过5元组信息来表示一个数据包的报头,这些信息来自于IP层和传输层(TL)报头的内容。五元组包括网络传输协议、源IP、目的IP、源端口、目的端口。网络协议号可以参考这个网址 协议号大全,其中最主要的有TCP为06,UDP为17,拿一条流量举例:
在这里插入图片描述
其中网络传输协议为TCP,协议号为6,源IP为65.54.81.165,目的IP为192.168.4.121,源端口为80,目的端口为51779。
因此具有相同五元组的所有流量均被提取(在此,采用双向流,即为源与目的交换后仍代表相同五元组,但在最终采用+1/-1来表示流向)。
代码如下:

import scapy
from scapy.all import *
from scapy.utils import PcapReader
import binascii
import struct
import numpy as np
fpcap = open("ddossim.pcap",'rb')
string_data = fpcap.read()
packets=rdpcap("ddossim.pcap")
np.set_printoptions(threshold=np.inf)

#pcap文件的数据包解析
step = 0
packet_num = 0
packet_data = []
pcap_packet_header = []
i =24
packet_num_w=0
packet_content=[]
five_tuples=[]
five_tuples_num=0

for data in packets:
    packet_num_w+=1
    if 'UDP' in data and data['UDP'].len!=97:
        payload_len=data['UDP'].len-8
    elif 'TCP' in data and data['IP'].len>40:
        payload_len=data['IP'].len-40
    else:
        i = i+ struct.unpack('I',string_data[i+12:i+16])[0]+16
        continue
    
    packet_header=binascii.hexlify(string_data[i:i+16])
    pcap_packet_header.append(packet_header)
    #求出此包的包长len 
    pcap_packet_header_len = string_data[i+12:i+16]
    packet_len = struct.unpack('I',pcap_packet_header_len)[0]
    #写入此包数据
    pcap_packet_payload=binascii.hexlify(string_data[i+16:i+16+packet_len])
    protocol=[int(pcap_packet_payload[i*2:(i+1)*2],16) for i in range(23,24)][0]
    src_ip=[int(pcap_packet_payload[i*2:(i+1)*2],16) for i in range(26,30)]
    src_ip=str(src_ip[0])+'.'+str(src_ip[1])+'.'+str(src_ip[2])+'.'+str(src_ip[3])
    dst_ip=[int(pcap_packet_payload[i*2:(i+1)*2],16) for i in range(30,34)]
    dst_ip=str(dst_ip[0])+'.'+str(dst_ip[1])+'.'+str(dst_ip[2])+'.'+str(dst_ip[3])
    src_port=[int(pcap_packet_payload[i*2:(i+2)*2],16) for i in range(34,35)][0]
    dst_port=[int(pcap_packet_payload[i*2:(i+2)*2],16) for i in range(36,37)][0]
    five_tuple=[protocol,src_ip,dst_ip,src_port,dst_port]
    five_tuple_trans=[five_tuple[0],five_tuple[2],five_tuple[1],five_tuple[4],five_tuple[3]]

    packet_data.append(pcap_packet_payload)
    payload = str(pcap_packet_payload[-payload_len*2:])[2:-1]
    header = str(pcap_packet_payload[:-payload_len*2])[2:-1]
    
    header_256 = []
    payload_256 = []
    
    # import pdb;pdb.set_trace()
    for header_len_each in range(packet_len-int(payload_len)):
        header_256_each=int(header[header_len_each*2:header_len_each*2+2],16)
        header_256.append(header_256_each)
    for payload_len_each in range(int(payload_len)):
        payload_256_each=int(payload[payload_len_each*2:payload_len_each*2+2],16)
        payload_256.append(payload_256_each)
    

    header_256 = np.array(header_256)
    payload_256 = np.array(payload_256)
    new_tuple=0
    for tuple_num in range(0,len(packet_content)):
        if packet_content[tuple_num][0]==five_tuple:
            packet_content[tuple_num][1].append(1)     
            packet_content[tuple_num].append(header_256)
            packet_content[tuple_num].append(payload_256)
            new_tuple=1
        elif  packet_content[tuple_num][0]==five_tuple_trans:
            packet_content[tuple_num][1].append(-1)            
            packet_content[tuple_num].append(header_256)
            packet_content[tuple_num].append(payload_256)
            new_tuple=1

    if new_tuple==0:
        five_tuples_num+=1
        packet_content.append([five_tuple])
        packet_content[-1].append([1])
        packet_content[-1].append(header_256)
        packet_content[-1].append(payload_256)
    
    i = i+ packet_len+16
    packet_num+=1

fpcap.close()

np.savetxt("temp0.csv", packet_content, delimiter="," , fmt = '%s')

其中 packet_content为存储最终结果的变量,five_tuple为五元组集合,five_tuple_trans为双向流另一种五元组集合(即为与第一个五元组方向不同的流的五元组),five_tuples_num为五元组组数,header_256与payload_256分别为各包包头及负载。
提取单个包的包头与负载代码入口在此:Pcap包包头、负载解析
提取五元组后的存储文件如下:
在这里插入图片描述
存储格式为: [五元组][每个流方向][每个流的包头及负载数据]
写入csv文件后,可采用一下代码进行读取:

ort numpy as np
import csv
# np.set_printoptions(threshold=np.inf)

with open('temp0.csv') as f:
    f_csv=csv.reader(f)
    t=""
    for csv in f_csv:
        for csv_each in csv:
            t=t+str(csv_each)

t=t[1:-1]
m=t.split("][")

five_tuple_all=[]
flow_direction_all=[]
data=[]
for tuple_count in range(len(m)):

    five_tuple=m[tuple_count].split("] [")[0].replace('[','').split(" ")
    five_tuple_all.append(five_tuple)
    flow_direction=m[tuple_count].split("] [")[1].split("] array")[0].split(" ")
    flow_direction_all.append(flow_direction)
    flow_data=m[tuple_count].split("] [")[1].split("] array")[1].replace('([','').replace('])','').split('array')

    flow_num=len(flow_direction)

    for i in range(flow_num*2):
        each_pcap=[]
        for bit_count in flow_data[i].split(' '):
            try:
                each_pcap.append(eval(bit_count))
            except SyntaxError:
                continue
        each_pcap=np.array(each_pcap)
        # import pdb;pdb.set_trace()
        if i==0:
            data.append([[each_pcap]])
        elif i%2==0:
            data[tuple_count].append([each_pcap])
        else:
            data[tuple_count][int((i-1)/2)].append(each_pcap)

data=np.array(data)
weixin_45154431
关注
  • 0
    点赞
  • 25
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
python 读取修改pcap的例子
09-19
今天小编就为大家分享一篇python 读取修改pcap的例子,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
java解析Pcap文件获取五元组(可执行)
07-13
java解析Pcap文件获取五元组(可运行)
C# .NET 使用第三方库SharpPcap进行抓示例
最新发布
m0_54169323的博客
02-27 1059
C# 使用第三方库SharpPcap进行抓示例
python抓取数据提取五元组
07-26
抓取数据提取五元组是一项常见的网络数据分析任务,用于分析和理解网络通信。下面是对该过程的描述: 抓取数据:使用Python的网络抓库(如Scapy、pcapy、dpkt等),可以监听网络接口或读取存储在文件的网络数据。这些库提供了函数和方法来捕获和读取数据。 解析数据:对于每个捕获到的数据,需要对其进行解析以获取有用的信息。解析可以涉及解码网络协议头部(如IP头部、TCP/UDP头部)以及提取负载数据提取五元组五元组是指网络通信标识唯一连接的五个关键属性,括源IP地址、目标IP地址、源端口号、目标端口号和传输协议(如TCP或UDP)。通过解析数据网络协议头部,可以提取这些五元组信息。 存储或处理五元组提取五元组信息可以根据需要进行存储、分析或进一步处理。可以将其保存到数据,用于网络流量分析、安全监测或性能优化等。 可选操作:除了提取五元组之外,还可以对数据进行其他操作,如计算吞吐量、延迟或分析应用层协议等。这些操作可以根据需求和具体场景进行。 请注意,实际的实现方式可能会因所选择的库和工具而有所不同。在编写代码时,需要熟悉所选库的
pcap报文回放工具
04-22
window下pcap文件的回放工具,基于python scapy、pyqt5开发。需要源码的请私信。
pcap文件解析,并且按照五元组分类
06-14
pcap文件解析,并按照五元组,全部用java语言实现。
基于五元组分流并提取流量特征 机器学习对加密流量进行分类
06-05
结果输出为csv文件,机器学习对加密流量进行分类
【网络小知识】之TCP IP 五元组(five-tuple/5-tuple)
热门推荐
巨魔战将
08-31 4万+
为什么要分享TCP IP 5元组(five-tuple/5-tuple的知识?   最近在进行深度分析过程,听到某些资深人士提到了5元组这个概念,觉得很高大尚,去搜索了一圈,发现都是些非常浅显的知识,而且没有提及到五元组的英文怎么拼写,因此饶了一圈。费了一番功夫,最终了解了4元组,5元组,7元组,觉得很有意思,因此分享出来,希望能帮到大家。 什么是5元组?   如今互联网大部分请求都承载与tcp/ip之上,IP属于网络层协议,TCP属于传输层协议,每个请求主要通过ip数据来进行传输和交互。在ip数据
Wireshark教程:从Pcap导出对象
nuan444979的博客
09-26 6814
Wireshark教程:导出流量对象
pcap流量提取文件的五种方法
l8947943的博客
07-07 1万+
找到一个pcap流量文件,使用如下命令,即可提取数据的文件。 2. 安装NetworkMiner 下载地址:http://sourceforge.net/projects/networkminer/files/latest/download 下载后,使用该软件打开pcap文件,提取文件即可。 安装完成后,使用如下命令: 4. 安装chaosreader 这个我还没测试过,先插眼,玩意后面需要使用。 工具地址:https://github.com/brendangregg/Chaosreader 使用如下命
如何提取pcap文件的TCP流
weixin_42593130的博客
02-15 789
PCAP文件是一种网络数据捕获文件格式,它可以记录计算机在网络上发送和接收的数据。要从PCAP文件提取TCP流,可以使用网络流量分析工具,如Wireshark或tcpdump。 以下是使用Wireshark提取TCP流的步骤: 打开Wireshark,然后通过“文件”菜单选择“打开”选项打开PCAP文件。 在Wireshark窗口的主界面上,选择“统计”菜单,然后选择“流量”选项。 在“流...
基于五元组分流并提取流量特征 结果输出为csv文件,用于机器学习对加密流量进行分类
11-09
程序使用Python的scapy库编写 环境:Python3 warn 多进程模式下,若同时读取多个pcap文件,可能导致记录丢失。 建议忽略多进程功能,仅设置并发数为1 依赖库 需要安装scapy,用于读取pcap文件pip install scapy ConfigParser用于读取配置文件pip install ConfigParser joblib(可选)pip install joblib 功能 读取pcap文件,输出多条流的信息到csv文件 <项目介绍> 该资源内项目源码是个人的毕设,代码都测试ok,都是运行成功后才上传资源,答辩评审平均分达到96分,放心下载使用! 1、该资源内项目代码都经过测试运行成功,功能ok的情况下才上传的,请放心下载使用! 2、本项目适合计算机相关专业(如计科、人工智能、通信工程、自动化、电子信息等)的在校学生、老师或者企业员工下载学习,也适合小白学习进阶,当然也可作为毕设项目、课程设计、作业、项目初期立项演示等。 3、如果基础还行,也可在此代码基础上进行修改,以实现其他功能,也可用于毕设、课设、作业等。 下载后请首先打开READ
利用scapy等模块进行流量的抓取并保存为pcap文件
08-19
利用scapy等模块进行流量的抓取并保存为pcap文件,过滤语法为BPF
【hyperscan】示例解读 pcapscan
dengdi8115的博客
10-23 485
示例位置: <hyperscan source>/examples/pcapscan.cc参考:http://01org.github.io/hyperscan/dev-reference/api_files.html 1. 概述 此示例实现一个简单的数据匹配性能测量程序。 pcapscan使用libpcappcap文件读取数据,并根据一个规则文件指定的...
计算机网络安全的一些概念以及知识点
xnxqwzy的博客
10-10 465
计算机网络安全是指利用管理控制和技术措施,保证在一个网络环境里,信息数据的机密性、完整性及可使用性受到保护。从广义来说,凡是涉及到网络上信息的保密性、完整性、可用性、不可否认性和可控性的相关技术和理论都是网络安全的研究领域。网络安全的具体含义会随着****“角度”****的变化而变化。
pcap文件分析-下之winpcap编程入门
cloud 的学习时代
09-20 3954
0.环境、代码版本与编译器 windows + WpdPack_4_1_2.zip + visual studio 2005 1.winpcap工程概览 解开WpdPack_4_1_2.zip后,文件列表如下: /*********************************************************************************
使用libpcap分析网络报文
G_BrightBoy的专栏
09-29 5503
最近要对tcpdump抓到的报文进行分析,开始的时候用wireshark的命令行工具tshark把分析的结果保存成文本文件然后再用正则表达式匹配需要的字段,这样好处是不用自己分析协议,只要抓取需要的字段就行了,缺点是相当地慢,330M的tcpdump文件经过tshark处理后得到
网络流量pcap特征提取并保存
weixin_47272625的博客
05-06 3580
新手写博客,写博客主要目的是为了记录自己做项目的一些过程。关于网络流量项目,刚开始做项目一个月左右,所写的博客必然有很多不足的地方,欢迎大家交流和指教。
Scapy 解析 pcap 文件从HTTP流量提取图片
09-17 2337
​ 通常我在网络嗅探与数据分析,使用 Wireshark 就可以很方便地浏览 pcap 文件的内容。但当捕获得流量很大或数据特征不太明显,再或者数据特征已确定,要从进一步分析(提取流量。以往采用人工方式可以说是种恶梦。幸运的是 Philippe Biondi 为 Python 开发的数据处理库Scapy以精巧和令人惊叹,一两行代码就能解决上述问题(功能远远不止如此)。这里我会演示如何借助 Scapy 的 pcap 数据处理能力,从嗅探到的 HTTP 流量提取图片。
写一个pcap提取五元组Python
03-23
代码如下: import dpkt import socket def extract_five_tuple(pcap_file): with open(pcap_file, 'rb') as f: pcap = dpkt.pcap.Reader(f) for ts, buf in pcap: eth = dpkt.ethernet.Ethernet(buf) if not isinstance(eth.data, dpkt.ip.IP): continue ip = eth.data src_ip = socket.inet_ntoa(ip.src) dst_ip = socket.inet_ntoa(ip.dst) if not isinstance(ip.data, dpkt.tcp.TCP): continue tcp = ip.data src_port = tcp.sport dst_port = tcp.dport print(f"src_ip: {src_ip}, dst_ip: {dst_ip}, src_port: {src_port}, dst_port: {dst_port}") # example usage extract_five_tuple('example.pcap') 这段代码可以从一个pcap文件提取五元组信息,括源IP地址、目的IP地址、源端口号和目的端口号。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值