解析pcap包

最新推荐文章于 2024-05-26 21:17:11 发布
最新推荐文章于 2024-05-26 21:17:11 发布
阅读量1.5k 收藏 1
点赞数
分类专栏: python 工程项目
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45534297/article/details/118147216
版权

需求:我们需要从恶意流量中的log中提取其ip地址。再根据ip地址去从tcpdump中采集pcap包,把恶意流量提取出来。
首先是初版的解析pcap包

import os
from scapy.all import *
import scapy.all as scapy
import sys
import csv
from time import strftime, localtime

# f = open('log/dealpcap.log', 'a') #日志的重定向输出
# sys.stdout = f
# sys.stderr = f

print(strftime("%Y-%m-%d %H:%M:%S", localtime())+"开始处理")

# 需要采集的数据包
srccapfile = './data_flow/5_25_flow.pcap'
# 需要保存的pcap包
malware_pcap = './malware_flow/test.pcap'

def main_process():

    fp = open("./log/2021-05-25.log")
    malware_ip =set()
    for line in fp.readlines():  # 遍历每一行
        date_str = line[43:81]  # 每行取前14个字母,作为下面新建文件的名称
        # content = line[14:]  # 每行取第15个字符后的所有字符,作为新建文件的内容
        ip = date_str.split(" ")
        # ipv4 = ip[0]
        malware_ip.add(ip[0])

    fp.close()



    # pr = PcapReader(srccapfile) #逐行读取package包
    # packet = pr.read_packet()
    id = 0
    pkts = rdpcap(srccapfile)

    for pkt in pkts:
        print("pcaket id:",id)
        if (pkt.payload.name == "IP"):
            source = pkt.payload.src
            destination = pkt.payload.dst
            for ip in malware_ip:
                if (source == ip or destination == ip):
                    scapy.wrpcap(malware_pcap, pkt, append=True)
        id=id+1

if __name__ == '__main__':
    main_process()

使用方法
先从github上把源码拿下来: GitHub源码
早上
首先使用tcpdump把pcap包采集下来;

tcpdump -i eth0 -w malware.pcap

晚上
进行流量识别和匹配过程;
以后如果需要把srccapfile换成其他收集的pcap流量包;
在这里需要把log日志换掉。fp = open("./log/2021-05-25.log");
malware_pcap,这里是填写需要保存的恶意流量的名称。

最后直接运行duip.py文件

未来工作
可以做一个自动化的脚本,每天定时去使用tcpdump采集恶意流量;再定时去使用python脚本去找流量。

不擅长纵横的捭阖家
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
pcap文件解析
qq_40878398的博客
08-18 1万+
pcap文件解析 1. pcap简介: pcap文件是一种常用的数据报存储文件,这种文件可以保存我们所抓到的报文。它有这固定的存储格式,通过notepad++中的插件Hex-Editor我们可以观察其中的16进制数据,从而来进行pcap文件的分析。 2. Pcap文件格式: pcap文件格式如图所示: 以24字节的Pcap Header开头: 随后跟上每一个报文的相关信息: Packet Header:记录报文信息 Packet Data:记录报文数据 3. pcap Header // pc
Pcap头与负载解析,制作数据集
weixin_45154431的博客
11-24 3399
pcap文件是常用的数据报存储格式,可以理解为就是一种文件格式,只不过里面的数据是按照特定格式存储的,所以我们想要解析里面的数据,也必须按照一定的格式。普通的记事本打开pcap文件显示的是乱码,用安装了HEX-Editor插件的Notepad++打开,能够以16进制数据的格式显示,用wireshark这种抓工具就可以正常打开这种文件,愉快地查看里面的网络数据报了,同时wireshark也可以生成这种格式的文件。当然这些工具只是我经常使用的,还有很多其它能够查看pcap文件的工具。
pcap文件理解
最新发布
qq_54122067的博客
05-26 1106
Pcap文件中是二进制,使用winhex软件,打开是十六进制数,winhex是只有十六进制数,而wireshake自动将pcap中的数据按照时间顺序将分开并赋予一个No.标号(标号是时间顺序)。:32位,一个UNIX格式的精确到秒时间值,用来记录数据抓获的时间,记录方式是记录从格林尼治时间的1970年1月1日 00:00:00 到抓时经过的秒数;ttl: 占据一个字节(8位),表示生存时间(Time to Live),用于限制数据在网络中的生存时间,每经过一个路由器,TTL减1,直到为0时被丢弃。
pcap详解
10-01 6957
pcap格式及API详解
国科大网络协议安全大作业——分析流量并使用Snort规则进行检测
weixin_44357071的博客
12-16 2335
SHA256(Secure Hash Algorithm 256-bit)是一种密码学哈希函数,用于计算数据的哈希值。每个文件使用一个哈希算法只会有一个确定的哈希值。
pcap简单使用和简单解释
weixin_30788619的博客
12-12 158
数据类型bpf_u_int32实际上就是u_int的一个别名,还有吧bpf_int32实际上就是int的别名。当然这个int是32位的,如果操作系统对int的定义不是4字节,bpf_int32就对应另外一种类型,总之,bpf_u_int32就是一个32位的无符号整型。 关键函数:int pcap_lookupnet(const char *device, bpf_u_int32 *netp,bp...
java抓后对pcap文件解析示例
09-04
这个解析器从输入流中读取pcap文件,逐个解码数据头并提取数据内容。 以下是对代码的详细解释: 1. 首先,代码创建了`Pcap`和`PcapHeader`类,分别用于存储整个pcap文件的信息和每个数据头部信息。`Pcap`类...
python 读取修改pcap的例子
09-19
Scapy库提供了`rdpcap()`函数来读取PCAP文件。在提供的代码示例中,这个函数被用来加载名为`http.pcap`的文件,并将其内容存储在一个名为`packeges`的列表中。每个列表元素都是一个Scapy数据对象,这些对象代表了...
解析pcap工具
10-04
标题中的“解析pcap工具”指的是用于处理网络封捕获(packet capture)文件的软件,这类工具能够分析和解读网络数据传输过程中的详细信息。在IT领域,pcap(Packet Capture)文件通常用于网络故障排查、安全审计...
利用Python库Scapy解析pcap文件的方法
09-19
今天小编就为大家分享一篇利用Python库Scapy解析pcap文件的方法,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
解析pcap为wav文件工具
10-06
标题中的“解析pcap为wav文件工具”指的是一个能够处理网络抓文件(pcap格式)并从中提取音频数据的程序。这类工具通常用于网络通信分析,特别是语音通信,如VoIP(Voice over Internet Protocol)服务。描述中...
解析pcap数据
12-04
解析pcap数据,提取出其中内容,http协议,https,icmp.dns
pcap解析
08-04
该资源供大家免费下载,如果有更多的资源请您和大家分享
PCAP文件的解析软件
07-12
具备WIRESHARK的大部分功能,主要是指针的偏移来完成的。对初学者有一定的帮助。
pcap TCP/UDP/FTP分析
07-12
课程学习任务 对抓到的pcap进行分析 输出 tcp/udp 五元组 可对ftp传输的文件还原 环境:VS2015 + wincap
利用WinpCap 编写抓源码附带WpdPack开发
09-13
利用WinpCap 编写抓源码附带WpdPack开发
pcap文件分析
weixin_50311553的博客
01-12 7849
pcap文件格式的解析
Python-对Pcap文件进行处理,获取指定TCP流
weixin_30929295的博客
08-26 1489
通过对TCP/IP协议的学习,本人写了一个可以实现对PCAP文件中的IPV4下的TCP流提取,以及提取指定的TCP流,鉴于为了学习,没有采用第三方解析pcap,而是对bytes流进行解析,其核心思想为:若想要提取TCP Content,需在下层的IPV4协议中判断Protocol是否为TCP,然后判断下层的以太网协议的Type是否为IPV4协议(此处的IPV4判断,只针对本人所写...
golang 解析pcap还原文件
06-10
要在 Golang 中解析 pcap 并还原文件,可以使用第三方库 `gopacket` 和 `pcap`。其中,`gopacket` 是一个用于解析和操作网络数据的库,而 `pcap` 则是一个用于读取和写入 pcap 格式文件的库。 以下是一个简单的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值