scapy 解析pcap数据包笔记

最新推荐文章于 2023-05-11 14:33:12 发布
最新推荐文章于 2023-05-11 14:33:12 发布
阅读量6k 收藏 28
点赞数 1
分类专栏: python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wowocpp/article/details/115768530
版权

scapy 解析pcap数据包笔记

wireshark 抓的包,格式更新了,scapy不能直接解析
tcpdump -w 的包,scapy 可以直接解析

1

from scapy.all import *
 
def analyzePcap(filepath):
 
    s1 = PcapReader(filepath)
 
    # data 是以太网 数据包
    data = s1.read_packet()
    ip_packet = data.payload
    icmp_packet = ip_packet.payload
    payload = icmp_packet.payload 
    original_payload = payload.original
    hex_payload = original_payload.hex()
 
    print(type(payload))     # <class 'scapy.packet.Raw'>
    print(type(original_payload)) # <class 'bytes'>
    print(type(hex_payload))    # <class 'str'>
 
    #print(type(data.payload))  #==><class 'scapy.layers.inet.IP'>  可以使用 help(scapy.layers.inet.IP) 查看帮助文档
 
analyzePcap('weird_pcap/linux_icmp_with_timestamp.pcap')

2

这里有一个python解析器 https://github.com/xiaxiaocao/pcap-parser 其他解析器也存在(dpkt),但要注意通信量可能是加密的。

http://fivezh.github.io/2016/05/31/Python-http-packet-parsing/

https://www.xmanblog.net/python-pcap/
Python解析pcap数据包

3

https://scapy.readthedocs.io/en/latest/usage.html#first-steps
在这里插入图片描述
在这里插入图片描述

WireWhale

https://github.com/isCharlesChang/WireWhale

在这里插入图片描述在这里插入图片描述
基于Python3.6,Scapy2.4,可以侦听、解析、构造并发送数据包的多功能抓包软件。其中还包括的扩展功能有:流量监测及攻击检测(Land攻击,Ping of Death)。软件目前支持解析的协议有:IP, IPv6, ARP, TCP, UDP, ICMP, SSDP, ICMPv6主要协议及扩展头, TLS。
主要功能
对网络接口的数据包尽可能多的捕获,可以将网卡设置为混杂模式,然后进行数据包的采集;
对捕获的数据包进行一定的解析,将报文在网络层和传输层逐字段展开,对数据包的协议类型、源目的地址、数据包截获时间、数据包内容进行分析;
根据用户不同的要求能够依据特定指定地址、特定协议类型相关包等条件进行自定义监视;
针对应用进行流量监测,监测结果输出实时流量图显示,管理员可设置流量预警线,当应用流量超过预警线时自动报警;
系统提供了多种方式显示结果,如以饼状图的形式统计ARP报文、TCP报文、UDP报文ICMP报文进行统计,以柱状图的形式统计IPv4报文、IPv6报文进行统计,以折线图的形式实时显示具体应用流量;
实现数据包保存,便于日后分析,即将捕获到的数据包,可另存为一个文件,并能被本系统所读取和展示;
伪造报文实现网络反攻击或进行深入微调IP或传输层的域。
主要模块

数据报文采集模块:完成网络接口数据的捕获、解析,可以根据用户定义条件组合来进行捕获,如只监视采用TCP或UDP协议的数据包,也可以监视用户希望关注的相关IP地址的数据包,同时完成数据封包日志记录,提高了系统的灵活性。此外,对IP类型、ARP、TCP、UDP、ICMP的数量进行统计。
应用流量监测模块:获取当前正在运行的应用进程,用户可选择一个应用进行流量监测,获取应用中流量信息,同时对一些常见的入侵攻击特征进行判断,如根据源目的地址是否相同判断Land攻击、IP头部长度是否过长判断ping拒绝服务攻击,并发出预警。
报文伪造模块:可以自行构造Ether、IP、TCP、UDP、ICMP、ARP报文,并选择send()、sendp()、sr()、srl()、srloop()五种方式发送报文以实现简单攻击或对TCP/IP进行调试。
界面显示模块:设计系统主窗口即数据报文采集界面、应用流量监测界面、报文伪造界面。并完成报文统计图的显示,流量图的显示。
源代码结构
img 存放程序中使用的图标。
capture_core.py 抓包程序的后台文件,主要用来生成数据包的摘要信息、分析数据包的结构、程序状态处理、下载速度和上传速度的更新等。
flow_monitor.py 流量监控程序的后台服务代码,实时更新速度、应用流量的过滤及摘要信息的生成、更新应用的网络连接等。
forged_packet 用于构造数据包并发送,可自定义数据包的每个字段,实现网络攻击或网络欺骗等功能。
main_ui.py 抓包程序的GUI代码,包括了快捷键的绑定以及可自定义字体和背景图片、已抓到数据包的摘要信息的展示、显示某个数据包的详细信息和十六进制数据等功能。
main.py 程序的入口。
monitor_system.py 流量监控的GUI代码,用于查看网络连接速度等。
tools.py 工具代码,用于获取网卡的NIC、格式的转换、网络连接速度的获取。
data.json 用于存放程序的配置信息。
环境依赖
Linux & Windows:

pip install psutil scapy matplotlib pyqt5

在windows下,还需要
Linux & Windows:

pip install wmi pywin32

使用方法
进入项目目录

cd WireWhale

主程序

python main.py

单独打开伪造包程序

python forged_packet.py

单独打开流量监测程序

python monitor_system.py

部分功能介绍
主界面主要包括5个部分:

菜单栏
文件:文件保存、打开,软件退出。
编辑:可自行设置主窗体字体。
捕获:捕获数据包的流程。
分析:两大拓展功能,应用流量监测和伪造数据包。
统计:报文统计。
帮助:即使用手册和关于软件。
工具栏
界面初始时,根据程序运行状态转移图只有开始键可以响应。
设置了标志位:start_flag、pause_flag、stop_flag、save_flag,用于对程序中一些函数的使用添加限制。开始、暂停、停止、重新开始四个按钮全部按照下图逻辑设置在什么情况下可响应。
下面为部分状态截图
起始状态
运行状态
暂停状态
停止状态
过滤器以及网卡选择
页面初始化时网卡选择下拉框获取网卡信息进行显示,如下图所示,默认全选。
报文显示
根据报文类型显示不同颜色,以进行明显的区别。
报文解析以树状结构显示,层次结构清晰明了。
抓包简略信息显示框定时滑到最底部。
状态栏(显示当前网卡、实时收发包速度、上传下载速度)
数据统计模块:绘制图使用python下最流行的数据处理框架Matplotlib绘制要求的统计图。

IP地址类型统计,以柱状图显示:
ARP等协议报文数量饼状图统计:
部分截图
主程序

数据包伪造

流量监控

4

dot1q就是802.1q,是vlan的一种封装方式。vlan封装有2种协议DOT1Q和 ISL,DOT1Q和 ISL的区别:DOT1Q是各类产品的VLAN通用协议模式,Dot1q是一种普遍使用的标准,适用所有交换机与路由设备。ISL是CISCO设备的专用协议,适用于Cisco设备。

5

读文件

def test(filepath):
    pcaps = rdpcap(filepath)
    for p in pcaps:
        print p.show()
        break

在这里插入图片描述
在这里插入图片描述
muXTCP
Writing your own flexible Userland TCP/IP Stack - Ninja Style!!!
https://events.ccc.de/congress/2005/fahrplan/events/529.en.html
在这里插入图片描述

6

读文件
packet_consummer(pkt)这个参数指对抓到的每一个包进行packet_consumer()函数处理即协议分析函数处理。

攻击

流量监测和攻击检测(Land攻击,Ping of Death)

https://scapy.net/

http

https://scapy.readthedocs.io/en/latest/api/scapy.layers.html
https://scapy.readthedocs.io/en/latest/api/scapy.packet.html

https://scapy.readthedocs.io/en/stable/build_dissect.html

用scapy解析出pcap文件的http报文

用scapy解析出pcap文件的http报文
https://blog.csdn.net/Yuberhu/article/details/64123516

https://blog.csdn.net/jjonger/article/details/81275120

1

Python | 解析pcap文件分析HTTP Request/Response报文
http://fivezh.github.io/2016/05/31/Python-http-packet-parsing/

from scapy.all import *
import scapy_http.http as http
import requests
import json

pkts = rdpcap('test.pcap')
req_list = []
for pkt in pkts:
    if TCP in pkt and pkt[TCP].fields['dport']==80 and pkt.haslayer(http.HTTPRequest):
        http_header = pkt[http.HTTPRequest].fields
        if 'Host' in http_header and '/article/content/' in http_header['Path']:
            req_url = 'http://' + http_header['Host'] + http_header['Path']
            req_list.append(req_url)

#print req_list
print str(len(req_list)) + ' toutiao request url achieved.'
f = open('result.log', 'w+')
record = 'title' + '\t' + 'source' + '\t' + 'src_link' + '\t' + 'publish_time' + '\t' + 'req_link' + '\n'
f.write(record)
for url in req_list:
    res = requests.get(url).text
    res = json.loads(res)
    if 'data' not in res:
        continue
    if 'h5_extra' not in res['data']:
        continue
    h5_extra = res['data']['h5_extra']
    title = h5_extra['title']
    source = h5_extra['source']
    src_link = h5_extra['src_link']
    publish_time = h5_extra['publish_time']

    record = title + '\t' + source + '\t' + src_link + '\t' + publish_time + '\t' + url + '\n'
    f.write(record.encode('utf-8'))
f.close()
1

https://github.com/HatBoy/Pcap-Analyzer

1.展示数据包基本信息
2.分析数据包协议
3.分析数据包流量
4.绘制出访问IP经纬度地图
5.提取数据包中特定协议的会话连接(WEB,FTP,Telnet)
6.提取会话中的敏感数据(密码)
7.简单的分析数据包中的安全风险(WEB攻击,暴力破解)
8.提取数据报中的特定协议的传输文件或者所有的二进制文件

将项目从Python2.X移植到Python3.X
修复了多个Bug

在这里插入图片描述
在这里插入图片描述
我这个也不会,你自己再找找其他博文吧,你可以看看snort或是netflow,dpdk之类的处理流量相关的文章表情包我也是刚学的菜鸡

11
#! /usr/bin/env python
from scapy.all import *
def arp_monitor_callback(pkt):
    if ARP in pkt and pkt[ARP].op in (1,2): #who-has or is-at
        return pkt.sprintf("%ARP.hwsrc% %ARP.psrc%")

sniff(prn=arp_monitor_callback, filter="arp", store=0)
22
def pack_callback(packet):
    print('-' * 50)
    print('新包来了:'+nowTime(packet.time)+'\n')
    p=packet
    print("%s, dst: %s,  src: %s, type: %s" %(p.name,p.dst,p.src,hex(p.type)))
    if 'IP' in p:
        ip=p.getlayer(IP)
        print("%s,Version:%s,src:%s,dst:%s,proto:%s,TLL:%s" % (ip.name, ip.version, ip.src, ip.dst, str(ip.proto), str(ip.ttl)))

    if 'TCP' in p:
        tcp=p.getlayer(TCP)
        print("%s,sport: %s,dport: %s, seq: %s, ack: %s, flags: %s" %( \
            tcp.name,str(tcp.sport),str(tcp.dport),\
            str(tcp.seq),str(tcp.ack),str(tcp.flags)))
wowocpp
关注
  • 1
    点赞
  • 28
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
python的scapy解读pcap
学-> 思->用
06-01 221
运行后,脚本将输出每个数据包的摘要信息以及相关的 IP 和端口信息。这个示例仅展示了如何读取和解读 pcap 文件的基本信息,你可以根据需要进一步扩展和定制解读逻辑。是一个非常强大的网络数据包处理库,可以用来捕获、解读和生成网络数据包。然后,创建一个 Python 文件(例如。好的,下面是一个使用 Python 和。库来解读 pcap 文件的示例代码。首先,确保你已经安装了。
Pcap数据包构造分析利器之scapy命令行
村中少年的专栏
01-23 1864
Pcap数据包构造分析利器之scapy命令行的简介
Python使用scapy和dpkt抓包并解析
培根芝士的专栏
10-24 7549
scapy是python中一个可用于网络嗅探的非常强大的第三方库,可以用它来做 packet 嗅探和伪造 packet。dpkt读取每个pcap包里的内容,用isinstance判断是不是有IP的包,再判断是属于哪个协议,对应的协议已经封装好API如果发现可以匹配某个协议API就输出来相关值。dpkt是一个python模块,可以对简单的数据包创建/解析,以及基本TCP / IP协议的解析,速度很快。ls(IP) 命令列出ip协议头部字段格式,只要想查看哪个协议的参数,括号里就填哪个协议。
python|使用Scapy分析流量包
S4n_v1的博客
05-11 3008
抓包分析其中 ICMP 包的数量与比例。
Scapy基础学习之一
热门推荐
wang_walfred的专栏
10-13 5万+
关于Scapy Scapy的是一个强大的交互式数据包处理程序(使用python编写)。它能够伪造或者解码大量的网络协议数据包,能够发送、捕捉、匹配请求和回复包等等。它可以很容易地处理一些典型操作,比如端口扫描,tracerouting,探测,单元测试,攻击或网络发现(可替代hping,NMAP,arpspoof,ARP-SK,arping,tcpdump,tethereal,P0F等)。最重要的
python scapy修改替换Pcap包负载
weixin_45154431的博客
04-07 768
在恶意流量种类的选择方面,经过特征选择,最终得到某种恶意流量的特征存在于负载当中,其中包含一些恶意的网站等,接收到这种恶意流量后会被感染,并变成恶意流量发送端。基于此,采用更换负载内容以达到增加恶意流量数据的目的。使用scapy库进行对数据包解析,以及希望通过更改负载内容从而生成新的恶意流量数据。
scapy学习笔记
sonflower123的博客
05-10 1452
基本函数 rdpcap() 该方法是在解析数据包的时候读入pcap文件所需要调用的方法。调用方式 from scapy import * f=repcap('pcap_oath') 该函数返回的f 是一个scapy.plist.Packet List(可以看做一个list进行运算)类型可以通过f[i]来读取第i+1个数据包(因为list 从0开始计算,不是第一个)例如读取第一个数据包的内容,可以使用f[0]来找第一个数据包,使用f[0].show()或f[0].display()进行数据包格式化
利用Python库Scapy解析pcap文件的方法
09-19
今天小编就为大家分享一篇利用Python库Scapy解析pcap文件的方法,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
扫描器篇(五)之scapy构造UDP数据包完成主机发现
01-20
udp协议扫描 发现原理 向目标主机发送一个,没有开放的端口发送数据,目标主机会返回一个ICMP 目标端口不可达的消息,通过该特征可以对主机...通过python发包神器scapy构造UDP数据包 端口一定要选择没有开放的,不然
利用python+scapy抓取DNS数据包
06-04
程序只会抓取DNS数据包。不会去抓取其他类型的数据包
Scapy网络数据包修改工具
07-25
Scapy是一款强大的网络数据包操作库,主要用于创建、解析和修改网络报文。它在网络安全、渗透测试、网络分析等领域有着广泛的应用。本工具利用Scapy的功能,专注于对EDIG(可能是指特定的网络协议或数据格式)进行...
自己编写的简单网络协议解析器,用于抓包并解析数据包
05-26
基于Tkinter的Python GUI界面设计,能分条展示数据包的概要信息(summary()),分层解析数据包,可显示数据包的十六进制编码值(hexdump());在抓包的同时解析数据包(不能等抓包停止后才解析),可判断IP、TCP或UDP数据包的校验和是否正确;支持BPF过滤器,抓包过程可以暂停和停止;可将数据包存储在pcap文件中,以供wireshark或其它数据包解析工具分析;可以在退出时提示用户进行保存未保存的数据包,进行保存工作;可以在再次开始新的抓包前提示用户保存未保存的数据包
python3scapy库函数使用,发送数据包
Flynn的博客
09-27 3059
scapy函数 交互式网络分组处理模块。可以用于构造或者解码大量的数据包协议,发送,捕获数据包并匹配请求和回复。 导入scapy库 from scapy.all import * 构造数据包 简单构造 直接构造默认数据包 >>> a=IP() #不带参数表示构造默认的IP数据包 >>> a.show() #查看数据包a的相关信息 ###[ IP ]### version = 4 ihl = None tos = 0x0
Python黑帽子编程—使用scapy构造数据包
CSN-001的博客
11-29 2048
scapy构造数据包 小明和小红相互写信沟通,一封信就是一个IP包裹。但是我们这次想要搞点恶作剧,比如代小明给小红发消息,下面的payload里装的就是我们的消息。 from scapy.all import * ming_ip = "10.60.17.46" # 我们要代替小明发信息 hong_ip = "192.168.209.153" # 收信人小红 ming_port = 9999 # source port (sport) hong_port = 80 # destination port
python_scapy构造ping程序
get root的博客
11-09 7466
本文讲了ping程序的原理,以及ICMP数据包的结构和数据,最后实现了用scapy编写一个ping程序,以及使用多进程调用ping程序实现ping扫描。
CENTOS上的网络安全工具(八)Scapy协议解析
lhyzws的专栏
08-10 3170
以DNS为例,简述基于scapy解析pcap文件,提取协议元数据,并在pymysql和pandas配合下,使用mysql进行数据管理和检索使用的方法。
基于python3的tkinter和scapy可视化报文构造工具(七)
ftzchina的博客
02-19 3173
本篇将主要讲述如何利用scapy模块来修改http报文的ip,host,ua信息。 首先看一下修改http报文的界面 由于ip地址有源IP和目的IP,界面提供了连个IP修改的输入框。如果只修改一个,另外一组IP可不填写。另外我们还给出了一个修改后的报文保存的路径,即sava pcap path对应的路径。界面的具体实现在前面的文章中已经做过详细的介绍,在此就不重复了。 下面将详细讲述如何利用scapy来修改IP,host和UA ip_layer = pcap.getlayer('IP') 通
python Scapy 随心所欲撩tcp协议栈
Al_xin的专栏
08-25 1万+
1. 前言如果只需要研究Linux的tcp协议栈行为,只需要使用packetdrill就能够满足我的所有需求。packetdrill才是让我随心所欲地撩tcp协议栈。packetdrill的简单使用手册。然而悲剧的是,除了要研究Linux的TCP协议栈行为,还需要研究Windows的tcp协议栈的行为,Windows不开源,感觉里面应该有挺多未知的坑。为了能够重现Windows的tcp协议栈的一些网
Scapy模块
weixin_50348916的博客
04-04 669
一、简介 ✦可以使用这个模块来实现对网络数据包的发送、监听和解析 ✦这个模块相比起Nmap来说,更为底层。可以更为直观地了解到网络中的各种扫描和攻击行为。 ✦可以利用它来产生各种类型的数据包并发送出去,Scapy也只会把收到的数据包展示给你 二、基本用法 ①在kali中启动一个终端,输入命令"scapy",就可以启动scapy环境 ②在Scapy中,每一个...
python scapy 解析 pcap
最新发布
12-16
以下是使用Python Scapy解析pcap文件的方法: ```python from scapy.all import * # 读取pcap文件 pkts = rdpcap('test.pcap') # 访问第n个包 pkt = pkts[n] # 循环读取每个包 for pkt in pkts: # 对每个包进行处理 ... ``` 使用Scapy库,我们可以轻松地读取pcap文件并访问其中的数据包。可以使用rdpcap()方法读取pcap文件,然后使用列表索引访问每个数据包。我们还可以使用循环来遍历所有数据包,并对每个数据包进行处理。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值