网络流量pcap包特征提取并保存

最新推荐文章于 2024-04-24 22:52:03 发布
最新推荐文章于 2024-04-24 22:52:03 发布
阅读量3.5k 收藏 24
点赞数 14
文章标签: python 开发语言 网络 wireshark
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_47272625/article/details/130527575
版权

前言

新手写博客,写博客主要目的是为了记录自己做项目的一些过程。关于网络流量项目,刚开始做项目一个月左右,所写的博客必然有很多不足的地方,欢迎大家交流和指教。

获取pcap包

pcap包特征提取第一步是要获得pcap包。pcap一般有两种获取方式,一种是下载开源的数据集,另外一种是通过自己抓包获得。

开源流量数据集有很多。这里贴一个博主总结的网络流量领域公开数据集
抓包一般可以通过wireshark工具实现。在抓包的时候由于我需要获取网络流量client_hello的部分这里用了wireshark自带的过滤器来提取。

由于我需要client_hello的部分在黄色框的地方输入ssl.handshake.type == 1既可以获得有关于client_hello的数据包,然后再导出即可。
在这里插入图片描述

基于flowcontainer的特征提取

这里我在提取网络流量特征提取的时候采用了flowcontainer的库,在提取特征的时候有尝试过例如pyshark之类的库,比较用起来觉得flowcontainer方便。查阅了一些资料说是flowcontainer在速度上会比较慢,但是博主没有尝试过,大家可以自己选择。

安装flowcontianer,在自己对应环境下输入即可。

pip install flowcontainer -i https://pypi.douban.com/simple/

这里说一下自己个人在安装和使用中碰到的问题:

(1)确保环境变量有tshark的环境,这里没有配置过的,搜索下如何配置环境变量,各个环境变量配置方法基本一致。在这里插入图片描述
(2)如果在编译器(博主是pycharm)运行记得启用管理者模式否则会出现以下报错,当时博主找了N久,才de出这个bug。

OSError: tshark is not installed or added to environment path.

其他有关于该库安装和使用的问题可以参考这篇博客。当时我学习这个库主要参考了这个博主的文章。

我自己使用这个库是为了获得有关网络流量中payload_length,time_delta,以及packet_length和sni的特征。这里上代码。extension可以自己选择想要提取的特征,如果想要提取别的特征参考上面超链接博客。

from flowcontainer.extractor import extract
result = extract(r"D:\Apaper\pyproje\pyproje\client-hello.pcap",filter='',extension=['tls.handshake.extensions_server_name','frame.time_delta','frame.cap_len'])

payload_length =[]  #total payload_length
time_delta=[]       #total time_delta
packet_length=[]    #total packet_length
sni = []            #total sni

for key in result:
    value = result[key]

    payload_length.append(value.payload_lengths[0])#save total payload_length
    time_delta.append((value.extension['frame.time_delta'][0])[0])#save total time_delta
    packet_length.append((value.extension['frame.cap_len'][0][0]))#save total packet_length

    if ('tls.handshake.extensions_server_name' in value.extension):#一些没有sni的client_hello数据包用NULL先暂时替代
        sni.append((value.extension['tls.handshake.extensions_server_name'][0])[0])#save total sni
    else:
        sni.append('NULL')  

#删除没有sni的pcap
for i in range (len(sni)-1,-1,-1):
    if sni[i] =='NULL':

        payload_length.pop(i)
        packet_length.pop(i)
        sni.pop(i)
        time_delta.pop(i)

print(payload_length)
print(time_delta)
print(packet_length)
print(sni)
print('\n')

这里我以列表的形式储存了特征。之所以有删除没有sni的pcap这个步骤,是因为我使用wireshark过滤后的client_hello包没有sni标志。具体原因不太理解,如果有懂的可以评论区说下。输出的结果如下
在这里插入图片描述

然后使用保存储存到excel就可以了,完整代码,两部分直接合并修改路径即可运行。

import xlwt
f = xlwt.Workbook('encoding = utf-8') #设置工作簿编码
sheet1 = f.add_sheet('sheet1',cell_overwrite_ok=True) #创建sheet工作表
sheet1.write(0,0,'sni')
sheet1.write(0,1,'payload_length')
sheet1.write(0,2,'packet_length')
sheet1.write(0,3,'time_delta')
for i in range(len(sni)):
    sheet1.write(i+1,0,sni[i]) #写入对应数据
    sheet1.write(i+1,1,payload_length[i])
    sheet1.write(i+1,2,packet_length[i])
    sheet1.write(i+1,3,time_delta[i])

f.save('text.xls')#保存.xls到当前工作目录

最终结果图

在这里插入图片描述

Hu-Hhq
关注
  • 14
    点赞
  • 24
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
pcap_flow:从PCAP计算流信息并提取tcp流
05-04
pcap_flow 显示来自PCAP的流信息,并可以提取单个(或所有)TCP流 选项 命令行选项 --output_tcp <filename> | write filtered TCP flows to the specified directory --output_udp <filename> | write filtered UDP flows to the specified directory --packet-max <number> | only process the first <number> packets --extract <number> | extract FlowID <number> in
python 读取修改pcap的例子
09-19
今天小编就为大家分享一篇python 读取修改pcap的例子,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
pcap文件分析
weixin_50311553的博客
01-12 7303
pcap文件格式的解析
解决flowcontainer报错(numpy版本问题)
Wait_Godot的博客
03-15 467
解决flowcontainer报错问题
python保存pcap文件并解析的实例
09-19
今天小编就为大家分享一篇python保存pcap文件并解析的实例,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
利用scapy等模块进行流量的抓取并保存pcap文件
08-19
利用scapy等模块进行流量的抓取并保存pcap文件,过滤语法为BPF
extractor:python脚本从PCAP提取文件
05-18
该脚本是为将文件从PCAP文件中拉出而设计的(大约需要工作,我花了大约一个小时将它放在一起)。 目前,它将提供.doc文件以外的所有内容作为未知的文件扩展名。 当我发现更多信息时,我会将它们添加到get_extension函数中。 随附的pcap带有“感染”密码。 我不能相信它,我只是将其用作测试功能,但它来自恶意软件-traffic-analysis.net (感谢您的PCAP)。 如果您还有其他pcaps,请尝试告诉我。 我还没有尝试过将其拉出文本文档,但仍将其放在我要做的事情上。
flowcontainer: 基于python3的pcap网络流量特征信息提取库
jmhIcoding
07-06 1万+
库介绍 flowcontainer是本人编写的基于python3的网络流量基本信息提取库,方便做加密网络流量的分类任务。给定pcap文件,该库会提取pcap所有的流的相关信息,其中流信息括:流的源端口、源IP、目的IP、目的端口、IP数据的长度序列、IP数据集的到达时间序列、有效载荷序列以及相应有效载荷的到达时间序列、TLS的SNI。库会对IP数据做过滤,那些tcp/udp载荷不为0的数据会统计到有效载荷序列里面。工具简单易用,扩展性和复用性高。 库的安装 pip3 install git+http
tshark is not insatalled or added to envionment path
欢迎来到我的博客~
03-25 1359
检查路径是不是有中文 (cmd中可以运行tshark,pycharm不可以,报错了,找到了tshark的路径中有中文,修改为英文再重新配置tshark的环境变量即可)
pcap解析
热门推荐
txb0504的博客
04-02 1万+
pacp解析 在接触激光雷达的时候,不可避免的第一步就是看硬件说明书以及调试厂商发的样例数据。一般情况下,厂商在存储硬件的数据的时候,都是通过存储pacp实现的,所以如何读取pacp,并从中解析出真正有用的数据就变得很重要,接下来我们一步步讲。 1.pacp结构 一个Pcap文件括“Pcap报头”,“数据区”两个部分,其中数据区又分成多个数据,每个有报头和数据两个部分,总体结构可见...
Pcap 数据捕获格式详解
人人都懂物联网
05-24 1万+
Pcap 是 Packet Capture 的英文缩写,是一种行业标准的网络数据捕获格式。如果你是网络开发人员,那么通常会使用 Wireshark、Tcpdump 或 WinDump 等网络分析器捕获 TCP/IP 数据,而抓后存盘的文件格式就是 .pcap 文件。 文件格式 Pcap 文件格式是一种二进制格式,支持纳秒级精度的时间戳。虽然这种格式在不同的实现中有所不同,但是所有的 pcap 文件都具有如下图所示的一般结构。 全局报头 全局报头(Global Header)含魔数(Magic nu
Cicflowmeter 特征提取工具(直接解压下来,放到D盘,就可以将pcap文件)
01-23
1.pcap文件转化成csv文件 2.首先下载一下winpcap软件,安装任意位置运行一下 3.直接解压下来,放到D盘,进入bin文件,双击CICFlowMeter.bat就可以了
pcap2wav:从pcap(RTP)中提取WAV
05-01
pcap2wav 从pcap文件(RTP)中以WAV格式提取音频 支持的编解码器: PCMA PCMU 要求 nodejs> = 8.0.0 tshark 2.4.5 袜14.4.2 安装 npm i pcap2wav 使用 const { pcap2wav } = require ( 'pcap2wav' ) ; const options = { pcap : '/absolute/path/to/pcap/file.pcap' } ; const { success , wav } = await pcap2wav ( options ) ; console . log ( success , wav ) ; // => true, '/absolute/path/to/wav/file.wav' 范围 一种 描述 选项 object 参数 options.pcap
pcap文件的rtp中提取264码流并保存(c语言)202087rtph264.rar
08-07
pcap文件的rtp中提取264码流并保存,用udp传输的rtp,解析了pcap文件,并且发布同名博客介绍这个小程序,主要介绍rtp数据的提取,需要用自己的pcap文件和src端口号运行程序,记得修改
【编译程序介绍】
武帝为此的博客
04-22 1272
简单来说,编译程序是一个软件,它读取用某种编程语言编写的源代码,分析并转换成等效的、可执行的机器语言代码。这个过程涉及多个复杂的步骤,括语法分析、语义分析、代码优化和代码生成等。
[python3] 读取一个正在更新的日志文件
言之。
04-24 305
等同于–follow=name --retry,根据文件名进行追踪,并保持重试,即该文件被删除或改名后,如果再次创建相同的文件名,会继续追踪。这两种方法都会持续监听日志文件的变化,并实时读取新增的日志内容。你可以根据实际需求选择其中一种方法。要读取一个正在更新的日志文件(即实时写入的日志文件),你可以使用 Python 的。的技巧来实现实时读取。函数打开文件,并使用。
实现自定义注解、实现自定义幂等性注解
qq_44721738的博客
04-23 713
添加 Spring AOP 依赖。创建自定义注解。创建一个新的 Java 注解类,通过@interface关键字来定义,并可以添加元注解以及属性。@Target(ElementType.METHOD) //表示作用于方法上@Retention(RetentionPolicy.RUNTIME) // 表示这个注解在运行时是可见的,这样 AOP 代理才能在运行时读取到这个注解编写 AOP 拦截(自定义注解)的逻辑代码。@Aspect@Component// 方法执行前的处理。
【InternLM实战营---第五节课作业】
weixin_45609124的博客
04-22 820
LMDeploy环境配置及基础使用
Lambda表达式特点
最新发布
weixin_57763462的博客
04-24 639
**API 设计**:Lambda 表达式鼓励使用函数式接口的设计模式,这改变了 Java 库的设计,例如 `java.util.function` 下的一系列函数式接口。- **函数式编程**:Lambda 表达式引入了函数式编程的理念,使得 Java 更接近于函数式编程语言,如 Scala 和 Clojure。- **并发编程**:Lambda 表达式与 Java 8 新增的 Stream API 结合使用,可以简化并发编程,特别是与集合的操作相关。
pcap内提取tcp会话并重组
07-13
### 回答1: 从pcap内提取TCP会话并重组是一种网络分析的常见任务,它可以帮助我们理解和分析网络流量。 首先,我们需要使用适当的工具打开pcap文件,如Wireshark或tshark。这些工具可以读取pcap文件并显示其中的网络流量。 接下来,我们需要筛选出TCP协议的网络流量,可以通过过滤器来实现。在Wireshark中,我们可以使用表达式"tcp"来过滤出所有的TCP流量。 一旦我们得到了TCP流量,我们需要根据IP地址和端口号来识别和重组TCP会话。每一对IP地址和端口号组合代表一次TCP会话。在Wireshark中,我们可以使用右键单击一个TCP流,然后选择"Follow",再选择"TCP Stream"来查看完整的重组会话。 如果我们想以程序的方式从pcap中提取并重组TCP会话,我们可以使用特定的编程库或工具,例如Scapy、dpkt等。这些工具提供了API和函数,可以让我们编写代码来读取pcap文件,提取TCP流量,并进行会话重组。 通过以上步骤,我们就可以从pcap中提取并重组TCP会话,以便于进一步的分析和调查。这对于网络管理员、安全分析师或研究人员来说,都是非常有价值的工作。 ### 回答2: 从pcap内提取TCP会话并重组是一种常见的网络流量分析技术,用于对网络通信进行深入研究和分析。下面是一个简单的步骤,用于从pcap中提取TCP会话并重组: 1. 使用网络流量分析工具(如Wireshark)打开pcap文件,并过滤出TCP流量。 2. 根据TCP协议的特性,使用源端口和目的端口以及IP地址信息来区分不同的TCP会话。 3. 对于每个TCP会话,按照TCP协议的顺序对进行排序,确保按照传输顺序进行重组。 4. 通过比较每个TCP的序列号和确认号,以及TCP首部中的ACK标志位来确定数据的重组顺序。 5. 将重组后的TCP按照正确的顺序进行拼接,以恢复原始的TCP会话数据。 6. 对重组后的TCP会话数据进行进一步分析,可以提取出TCP会话中的各种信息,如源IP和目的IP、源端口和目的端口、连接建立时间、连接关闭时间、数据传输的总大小等。 通过从pcap内提取TCP会话并重组,可以更好地理解网络通信的细节,如数据传输顺序、传输延迟、丢情况等。同时,还可以利用这些数据进行网络性能分析、故障排除和安全检测等工作。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值