由pcap文件提取IPv6的flow数据

最新推荐文章于 2023-09-17 18:25:01 发布
最新推荐文章于 2023-09-17 18:25:01 发布
阅读量1.9k 收藏 2
点赞数
分类专栏: C-C++ 数据处理 文章标签: md5 pcap 数据处理
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ymjiang820/article/details/47783241
版权
本文介绍了从大型 pcap 文件中提取IPv6流量数据的过程,包括使用MD5算法减少哈希冲突,从而提高数据处理效率。通过Visual Studio 2012实现,详细讨论了实现步骤、冲突解决策略以及最终结果。
摘要由CSDN通过智能技术生成

一、目标:

现有两个大学抓取的packet数据,分片成若干部分,需要从中抽取出流信息( 源mac地址、目的mac地址、源ip地址、目的IP地址、源端口、目的端口、vlan、协议类型、流首包时间、流末包时间、流总大小),并按文件中的packet顺序,将结果输出出来。

二、实现过程:

1、没有沟通好需求是个硬伤,直接导致前面几次提交结果不合格。
2、pcap是二进制文件,花了点时间研究pcap的文件结构和二进制文件的读写方式。
3、数据量非常大,第一组数据packet数约一千万,第二组有一亿以上,对内存分配是个考验。
4、一开始采用了顺序查找,速度非常慢,运行到后期,10秒只能遍历100组数据。在老师提示下采用了hash表来存储,速度果然不同凡响。
5、hash表关键字的选择:
(1)初期:观察了packet数据,发现源ip地址(SrcIP)不一样的情况比较多,因此哈希函数和关键字都直接用它了。冲突解决采用线性散列(加1)。
( 2)中期:初期的冲突还是太多了,到后面速度异常慢,因此哈希函数和关键字都改成了源mac地址、目的mac地址、源ip地址、目的IP地址、源端口、目的端口、vlan、协议类型的和(当然还要对hash表长取模),这么一来冲突小了不少。然而运行至文件末时速度仍然不够。
(3)后期:导师提示了md5算法,即Message Digest Algorithm MD5(消息摘要算法第五版),它的特点是:
①、压缩性:任意长度的数据,算出的MD5值长度都是固定的。
②、容易计算:从原数据计算出MD5值很容易。
③、抗修改性:对原数据进行任何改动,哪怕只修改1个字节,所得到的MD5值都有很大区别。
④、弱抗碰撞:已知原数据和其MD5值,想找到一个具有相同MD5值的数据(即伪造数据)是非常困难的。
⑤、强抗碰撞:想找到两个不同的数据,使它们具有相同的MD5值,是非常困难的。
这就意味着用md5算法作为hash函数可以大大减少冲突(实际情况是基本不出现冲突),毕竟不同关键字算出来的值差异太大了(但并没有直接验证,只是通过运行时间间接得出的结论)。
6、运行时间:一百万个flow大概200s,这比顺序查找简直快了四五个量级。

三、代码

(运行环境为Visual Studio 2012)
主代码如下
#include<stdio.h>
#include<stdlib.h>
#include<string.h>
#include "md5.h"
#include<math.h>
#include<time.h>
#define N 13000000LL
#define NUM_OF_MAX_FLOW 13000000LL
static long long index[NUM_OF_MAX_FLOW]={
  0},FlowCnt=1;
typedef unsigned char uint8;
typedef struct{
    int TimeStart;
    int MicroSec;
    int Caplen;
    uint8 SrcMac[6];
    uint8 DstMac[6];
    uint8 SrcIP[4];
    uint8 DstIP[4];
    uint8 SrcPort[2];
    uint8 DstPort[2];
    uint8 VlanID[2];
    uint8 VlanType[2];
    uint8 Protocol;
    int FlowBytes;
}STREAM;
typedef struct{
    uint8 flag;
    double timeStart;
    double timeEnd;
    uint8 SrcMac[6];
    uint8 DstMac[6];
    uint8 SrcIP[4];
    uint8 DstIP[4];
    uint8 SrcPort[2];
    uint8 DstPort[2];
    uint8 VlanID[2];
    uint8 VlanType[2];
    uint8 Protocol;
    unsigned long FlowBytes;
    unsigned long PacketsNum;
}FLOW;
static FLOW FlowTable[NUM_OF_MAX_FLOW] = { 0 };
void writeHex(FILE *fw, uint8 *str, int n)
{
    int i;
    for (i = 0; i<n; i++){
        fprintf(fw, "%x%x", (str[i] - str[i] % 16) >> 4, str[i] % 16);
    }
    return;
}
int isEqual(uint8 *old,uint8 *now,int n)
{
    int i;
    for(i=0;i<n;i++)
       if(old[i]!=now[i]) return 0;
    return 1;
}
int Equal(STREAM data,FLOW FlowData)
{
    if(isEqual(data.SrcMac,FlowData.SrcMac,6))
      if(isEqual(data.DstMac,FlowData.DstMac,6))
        if(isEqual(data.SrcIP,FlowData.SrcIP,4))
          if(isEqual(data.DstIP,FlowData.DstIP,4))
            if(isEqual(data.SrcPort,FlowData.SrcPort,2))
              if(isEqual(data.DstPort,FlowData.DstPort,2))
                if(isEqual(data.VlanID,FlowData.VlanID,2))
                  if(isEqual(data.VlanType,FlowData.VlanType,2))
                    if(data.Protocol==FlowData.Protocol)
                      return 1;
    return 0;
}
long long string2num(uint8 *IP)
{
    long long temp = (long long)IP[3];
    temp += (long long)IP[2] << 8;
    temp += (long long)IP[1] << 16;
    temp += (long long)IP[0] << 24;
     return temp;
}
int add2Hash(STREAM data,FLOW *FlowTable,long long HashNum)
{
     int i,flag=0,cnt=0;
     double temp;
 loop:
     if(cnt++>100000) return 0;
     if(FlowTable[HashNum].flag==0){
           FlowTable[HashNum].flag=1;
           FlowTable[HashNum].timeStart=data.TimeStart+(int)data.MicroSec/1000+(data.MicroSec%1000)/1000.0;
           FlowTable[HashNum].timeEnd=FlowTable[HashNum].timeStart;
           for(i=0;i<6;i++) FlowTable[HashNum].SrcMac[i]=data.SrcMac[i];
           for(i=0;i<6;i++) FlowTable[HashNum].DstMac[i]=data.DstMac[i];
           for(i=0;i<4;i++) FlowTable[HashNum].SrcIP[i]=data.SrcIP[i];
           for(i=0;i<4;i++) FlowTable[HashNum].DstIP[i]=data.DstIP[i];
           for(i=0;i<2;i++) FlowTable[HashNum].SrcPort[i]=data.SrcPort[i];
           for(i=0;i<2;i++) FlowTable[HashNum].DstPort[i]=data.DstPort[i];
           for(i=0;i<2;i++) FlowTable[HashNum].VlanID[i]=data.VlanID[i];
           for(i=0;i<2;i++) FlowTable[HashNum].VlanType[i]=data.VlanType[i];
           FlowTable[HashNum].Protocol=data.Protocol;
           FlowTable[HashNum].FlowBytes=data.FlowBytes;
           FlowTable[HashNum].PacketsNum=1;
           index[FlowCnt++]=HashNum;
           return 1;
     }
     else{
  //???? 
           if(Equal(data,FlowTable[HashNum]))
           {
  //???????flow 
              temp=data.TimeStart+(int)data.MicroSec/1000+(data.MicroSec%1000)/1000.0;
              if (fabs(temp - FlowTable[HashNum].timeEnd)<5 && temp>FlowTable[HashNum].timeEnd){
  //?????????flow 
                 FlowTable[HashNum].timeEnd=temp;
                 FlowTable[HashNum].FlowBytes += data.FlowBytes;
                 FlowTable[HashNum].PacketsNum++;
                 return 1;
              }
              else{
                   /*HashNum=(HashNum*HashNum)%NUM_OF_MAX_FLOW;
                   add2Hash(data,FlowTable,HashNum);//????????flow?*/
                      HashNum = (HashNum + 1) % NUM_OF_MAX_FLOW;
                    while (FlowTable[HashNum].flag == 1){
                      if (Equal(data, FlowTable[HashNum])){
                          temp = data.TimeStart + (int)data.MicroSec / 1000 + (data.MicroSec % 1000) / 1000.0;
                          if (fabs(temp -
最低0.47元/天 解锁文章
shallowlearning
关注
专栏目录
爱奇艺网络流量分析引擎 QNSM 及其应用
墨痕诉清风的博客
12-27 664
全流量分析是非常重要的, 可以用来进行资产发现、网络监控和可视化,对安全而言,通过对网络流量的分析,对流量构建基线建模,从流量中可以发现异常、风险以及检测攻击,从流量中也可以实现数据内容提取,发现潜在的敏感数据流动或者泄露,还可以进行 ACL 策略校对,并将网络流量产出的数据特征通过机器学习和专家分析,可以挖掘更多的信息以及进行取证溯源和事件回查。QNSM。
tcprewrite批量修改报文ip地址一
悦分享
06-06 2199
简单的说,tcpreplay是一种pcap包的重放工具, 它可以将用ethreal, wireshark工具抓下来的包原样或经过任意修改后重放回去. 它允许你对报文做任意的修改(主要是指对2层, 3层, 4层报文头), 指定重放报文的速度等, 这样tcpreplay就可以用来复现抓包的情景以定位bug, 以极快的速度重放从而实现压力测试。一、安装指南由于tcpreplay依赖libpcap库,所以安装tcpreplay之前必须先安装libpcap(在windows下为winpcap)否则 ./configu
ipv6_pcap.rar
11-23
学习ipv6协议用到的一些有用的数据包,其中有tcp udp 数据包,分片数据包,http数据包等,对学习ipv6有很大帮助
ipv6.pcap 数据
03-31
VMware 启用ipv6 ,虚拟机ping虚拟机网关,并用tcpdump抓包所得,用于研究ipv6包格式
tcp ipv6 pcap 数据
08-19
tcp ipv6 pcap 数据
ipv6 UDP pcap数据ipv6 pcap数据
08-17
ipv6 UDP pcap数据ipv6 pcap数据包 共大家参考是什么样子的,另外可以看下 ipv6的地址如何配置的。
Pcap包按相同五元组信息提取流量
weixin_45154431的博客
01-07 1882
【代码】Pcap包按相同五元组信息提取流量。
基于五元组分流并提取流量特征 机器学习中对加密流量进行分类
06-05
在"flow-feature-master"项目中,我们可能找到了用于特征提取和模型训练的代码库。这个库可能包含了提取五元组特征和其他流量统计信息的函数,以及使用特定机器学习算法进行分类的脚本。通过运行这些代码,我们可以...
tcpdump - 数据包进行截获的包分析工具
墨鱼菜鸡
07-11 1324
From:http://www.cnblogs.com/ggjucheng/archive/2012/01/14/2322659.html 30 分钟掌握 tcpdump:http://zhuanlan.51cto.com/art/201701/527498.htm Androidtcpdump下载:https://www.androidt...
.cap .pcap数据文件(ipv4 转ipv6
09-29
把.cap .pcap文件中的ipv4数据包转换成对应的ipv6数据包,其他的数据包不变, 可以用于批量生产ipv6数据包(用于测试),资源包括源代码和已经编译好的exe,还有一个批量处理的.bat文件
使用WinPcap抓取ipv4和ipv6数据
07-31
之前的版本传错了,只有ipv4。此版本可以抓取ipv4和ipv6数据
pcap流量中提取文件的五种方法
l8947943的博客
07-07 1万+
找到一个pcap流量文件,使用如下命令,即可提取数据中的文件。 2. 安装NetworkMiner 下载地址:http://sourceforge.net/projects/networkminer/files/latest/download 下载后,使用该软件打开pcap文件提取文件即可。 安装完成后,使用如下命令: 4. 安装chaosreader 这个我还没测试过,先插眼,玩意后面需要使用。 工具地址:https://github.com/brendangregg/Chaosreader 使用如下命
pcap数据包解析及数据特征提取
热门推荐
无人机飞啊飞啊飞
10-26 1万+
pcap数据包解析及数据特征提取 #include #include #include #include #include #pragma pack(1) #define BUFSIZE 1526 #define STRSIZE 1024 typedef int bpf_int32; typedef unsigned int bpf_u_int32; typedef unsigned sh
pcap文件提取文本文件
qq_28808697的博客
07-27 1409
1、 #strings命令在对象文件或二进制文件中查找可打印的字符串。 strings output.txt >> output1.txt 其中 output.txt 是包含可打印字符串的pcap文件 2、从 output1.txt中查找包含start(忽略大小写)的行,使用uniq命令删除重复的行,然后写入到文件 transmitted.txt grep -i start output1.txt | uniq >> transmitted.txt 3、将transm.
网络流量pcap包特征提取并保存
weixin_47272625的博客
05-06 4205
新手写博客,写博客主要目的是为了记录自己做项目的一些过程。关于网络流量项目,刚开始做项目一个月左右,所写的博客必然有很多不足的地方,欢迎大家交流和指教。
Scapy 解析 pcap 文件从HTTP流量中提取图片
最新发布
09-17 3006
​ 通常我在网络嗅探与数据包分析中,使用 Wireshark 就可以很方便地浏览 pcap 文件的内容。但当捕获得流量很大或数据包特征不太明显,再或者数据包特征已确定,要从中进一步分析(提取)流量。以往采用人工方式可以说是种恶梦。幸运的是 Philippe Biondi 为 Python 开发的数据包处理库Scapy以精巧和令人惊叹,一两行代码就能解决上述问题(功能远远不止如此)。这里我会演示如何借助 Scapy 的 pcap 数据处理能力,从嗅探到的 HTTP 流量中提取图片。
cap,pcap文件中的ipv4数据包转成ipv6数据
mincheat的专栏
10-09 2210
cap , pcap文件结构(解析),网上多得是,这里就不写了。  写这个,主要是工作中正好需要大量的ipv6数据包,但是ipv6数据包不太好找,干脆就直接写个简单的工具,把ipv4转成对应的ipv6,可用于测试。  cpp代码: // Ipv4ToIpv6_pCap.cpp : 定义控制台应用程序的入口点。 // #include "stdafx.h" #include #de
python十六进制转pcap文件_python处理pcap文件——数据提取
weixin_35710880的博客
03-02 919
pcap文件中每个包进行内容提取提取pcap头每个包header和data部分,存入txt这是对网上的一份代码的优化修改#!/usr/bin/env python#coding=utf-8#读取pcap文件,解析相应的信息,为了在记事本中显示的方便,把二进制的信息import structimport time, datetimedef time_trans(GMTtime):#print(...
如何使用suricata6.0.9从pcap文件提取规则
03-31
其中,pcap_file.pcappcap文件的路径,extracted_rules.rules是提取出的规则文件的路径。 4. 检查提取出的规则: 可以使用以下命令检查提取出的规则是否存在问题: ``` sudo suricata -T -c extracted_rules....
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值