由pcap文件提取IPv6的flow数据

最新推荐文章于 2023-09-17 18:25:01 发布
最新推荐文章于 2023-09-17 18:25:01 发布
阅读量1.9k 收藏 2
点赞数
分类专栏: C-C++ 数据处理 文章标签: md5 pcap 数据处理
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ymjiang820/article/details/47783241
版权
本文介绍了从大型 pcap 文件中提取IPv6流量数据的过程,包括使用MD5算法减少哈希冲突,从而提高数据处理效率。通过Visual Studio 2012实现,详细讨论了实现步骤、冲突解决策略以及最终结果。
摘要由CSDN通过智能技术生成

一、目标:

现有两个大学抓取的packet数据,分片成若干部分,需要从中抽取出流信息( 源mac地址、目的mac地址、源ip地址、目的IP地址、源端口、目的端口、vlan、协议类型、流首包时间、流末包时间、流总大小),并按文件中的packet顺序,将结果输出出来。

二、实现过程:

1、没有沟通好需求是个硬伤,直接导致前面几次提交结果不合格。
2、pcap是二进制文件,花了点时间研究pcap的文件结构和二进制文件的读写方式。
3、数据量非常大,第一组数据packet数约一千万,第二组有一亿以上,对内存分配是个考验。
4、一开始采用了顺序查找,速度非常慢,运行到后期,10秒只能遍历100组数据。在老师提示下采用了hash表来存储,速度果然不同凡响。
5、hash表关键字的选择:
(1)初期:观察了packet数据,发现源ip地址(SrcIP)不一样的情况比较多,因此哈希函数和关键字都直接用它了。冲突解决采用线性散列(加1)。
( 2)中期:初期的冲突还是太多了,到后面速度异常慢,因此哈希函数和关键字都改成了源mac地址、目的mac地址、源ip地址、目的IP地址、源端口、目的端口、vlan、协议类型的和(当然还要对hash表长取模),这么一来冲突小了不少。然而运行至文件末时速度仍然不够。
(3)后期:导师提示了md5算法,即Message Digest Algorithm MD5(消息摘要算法第五版),它的特点是:
①、压缩性:任意长度的数据,算出的MD5值长度都是固定的。
②、容易计算:从原数据计算出MD5值很容易。
③、抗修改性:对原数据进行任何改动,哪怕只修改1个字节,所得到的MD5值都有很大区别。
④、弱抗碰撞:已知原数据和其MD5值,想找到一个具有相同MD5值的数据(即伪造数据)是非常困难的。
⑤、强抗碰撞:想找到两个不同的数据,使它们具有相同的MD5值,是非常困难的。
这就意味着用md5算法作为hash函数可以大大减少冲突(实际情况是基本不出现冲突),毕竟不同关键字算出来的值差异太大了(但并没有直接验证,只是通过运行时间间接得出的结论)。
6、运行时间:一百万个flow大概200s,这比顺序查找简直快了四五个量级。

三、代码

(运行环境为Visual Studio 2012)
主代码如下
#include<stdio.h>
#include<stdlib.h>
#include<string.h>
#include "md5.h"
#include<math.h>
#include<time.h>
#define N 13000000LL
#define NUM_OF_MAX_FLOW 13000000LL
static long long index[NUM_OF_MAX_FLOW]={
  0},FlowCnt=1;
typedef unsigned char uint8;
typedef struct{
    int TimeStart;
    int MicroSec;
    int Caplen;
    uint8 SrcMac[6];
    uint8 DstMac[6];
    uint8 SrcIP[4];
    uint8 DstIP[4];
    uint8 SrcPort[2];
    uint8 DstPort[2];
    uint8 VlanID[2];
    uint8 VlanType[2];
    uint8 Protocol;
    int FlowBytes;
}STREAM;
typedef struct{
    uint8 flag;
    double timeStart;
    double timeEnd;
    uint8 SrcMac[6];
    uint8 DstMac[6];
    uint8 SrcIP[4];
    uint8 DstIP[4];
    uint8 SrcPort[2];
    uint8 DstPort[2];
    uint8 VlanID[2];
    uint8 VlanType[2];
    uint8 Protocol;
    unsigned long FlowBytes;
    unsigned long PacketsNum;
}FLOW;
static FLOW FlowTable[NUM_OF_MAX_FLOW] = { 0 };
void writeHex(FILE *fw, uint8 *str, int n)
{
    int i;
    for (i = 0; i<n; i++){
        fprintf(fw, "%x%x", (str[i] - str[i] % 16) >> 4, str[i] % 16);
    }
    return;
}
int isEqual(uint8 *old,uint8 *now,int n)
{
    int i;
    for(i=0;i<n;i++)
       if(old[i]!=now[i]) return 0;
    return 1;
}
int Equal(STREAM data,FLOW FlowData)
{
    if(isEqual(data.SrcMac,FlowData.SrcMac,6))
      if(isEqual(data.DstMac,FlowData.DstMac,6))
        if(isEqual(data.SrcIP,FlowData.SrcIP,4))
          if(isEqual(data.DstIP,FlowData.DstIP,4))
            if(isEqual(data.SrcPort,FlowData.SrcPort,2))
              if(isEqual(data.DstPort,FlowData.DstPort,2))
                if(isEqual(data.VlanID,FlowData.VlanID,2))
                  if(isEqual(data.VlanType,FlowData.VlanType,2))
                    if(data.Protocol==FlowData.Protocol)
                      return 1;
    return 0;
}
long long string2num(uint8 *IP)
{
    long long temp = (long long)IP[3];
    temp += (long long)IP[2] << 8;
    temp += (long long)IP[1] << 16;
    temp += (long long)IP[0] << 24;
     return temp;
}
int add2Hash(STREAM data,FLOW *FlowTable,long long HashNum)
{
     int i,flag=0,cnt=0;
     double temp;
 loop:
     if(cnt++>100000) return 0;
     if(FlowTable[HashNum].flag==0){
           FlowTable[HashNum].flag=1;
           FlowTable[HashNum].timeStart=data.TimeStart+(int)data.MicroSec/1000+(data.MicroSec%1000)/1000.0;
           FlowTable[HashNum].timeEnd=FlowTable[HashNum].timeStart;
           for(i=0;i<6;i++) FlowTable[HashNum].SrcMac[i]=data.SrcMac[i];
           for(i=0;i<6;i++) FlowTable[HashNum].DstMac[i]=data.DstMac[i];
           for(i=0;i<4;i++) FlowTable[HashNum].SrcIP[i]=data.SrcIP[i];
           for(i=0;i<4;i++) FlowTable[HashNum].DstIP[i]=data.DstIP[i];
           for(i=0;i<2;i++) FlowTable[HashNum].SrcPort[i]=data.SrcPort[i];
           for(i=0;i<2;i++) FlowTable[HashNum].DstPort[i]=data.DstPort[i];
           for(i=0;i<2;i++) FlowTable[HashNum].VlanID[i]=data.VlanID[i];
           for(i=0;i<2;i++) FlowTable[HashNum].VlanType[i]=data.VlanType[i];
           FlowTable[HashNum].Protocol=data.Protocol;
           FlowTable[HashNum].FlowBytes=data.FlowBytes;
           FlowTable[HashNum].PacketsNum=1;
           index[FlowCnt++]=HashNum;
           return 1;
     }
     else{
  //???? 
           if(Equal(data,FlowTable[HashNum]))
           {
  //???????flow 
              temp=data.TimeStart+(int)data.MicroSec/1000+(data.MicroSec%1000)/1000.0;
              if (fabs(temp - FlowTable[HashNum].timeEnd)<5 && temp>FlowTable[HashNum].timeEnd){
  //?????????flow 
                 FlowTable[HashNum].timeEnd=temp;
                 FlowTable[HashNum].FlowBytes += data.FlowBytes;
                 FlowTable[HashNum].PacketsNum++;
                 return 1;
              }
              else{
                   /*HashNum=(HashNum*HashNum)%NUM_OF_MAX_FLOW;
                   add2Hash(data,FlowTable,HashNum);//????????flow?*/
                      HashNum = (HashNum + 1) % NUM_OF_MAX_FLOW;
                    while (FlowTable[HashNum].flag == 1){
                      if (Equal(data, FlowTable[HashNum])){
                          temp = data.TimeStart + (int)data.MicroSec / 1000 + (data.MicroSec % 1000) / 1000.0;
                          if (fabs(temp -
最低0.47元/天 解锁文章
shallowlearning
关注
专栏目录
爱奇艺网络流量分析引擎 QNSM 及其应用
墨痕诉清风的博客
12-27 696
全流量分析是非常重要的, 可以用来进行资产发现、网络监控和可视化,对安全而言,通过对网络流量的分析,对流量构建基线建模,从流量中可以发现异常、风险以及检测攻击,从流量中也可以实现数据内容提取,发现潜在的敏感数据流动或者泄露,还可以进行 ACL 策略校对,并将网络流量产出的数据特征通过机器学习和专家分析,可以挖掘更多的信息以及进行取证溯源和事件回查。QNSM。
tcprewrite批量修改报文ip地址一
悦分享
06-06 2297
简单的说,tcpreplay是一种pcap包的重放工具, 它可以将用ethreal, wireshark工具抓下来的包原样或经过任意修改后重放回去. 它允许你对报文做任意的修改(主要是指对2层, 3层, 4层报文头), 指定重放报文的速度等, 这样tcpreplay就可以用来复现抓包的情景以定位bug, 以极快的速度重放从而实现压力测试。一、安装指南由于tcpreplay依赖libpcap库,所以安装tcpreplay之前必须先安装libpcap(在windows下为winpcap)否则 ./configu
开源 | 爱奇艺网络流量分析引擎QNSM及其应用
爱奇艺技术产品团队
03-13 2408
▌导读一定业务规模的互联网公司的基础设施的网络边界通常都呈现一定程度的复杂多分区的情况,如何进行有效的安全防护和控制会成为安全体系建设的重点和难点。面对...
ipv6_pcap.rar
11-23
学习ipv6协议用到的一些有用的数据包,其中有tcp udp 数据包,分片数据包,http数据包等,对学习ipv6有很大帮助
ipv6.pcap 数据
03-31
VMware 启用ipv6 ,虚拟机ping虚拟机网关,并用tcpdump抓包所得,用于研究ipv6包格式
tcp ipv6 pcap 数据
08-19
tcp ipv6 pcap 数据
ipv6 UDP pcap数据ipv6 pcap数据
08-17
ipv6 UDP pcap数据ipv6 pcap数据包 共大家参考是什么样子的,另外可以看下 ipv6的地址如何配置的。
Pcap包按相同五元组信息提取流量
weixin_45154431的博客
01-07 1989
【代码】Pcap包按相同五元组信息提取流量。
基于五元组分流并提取流量特征 机器学习中对加密流量进行分类
06-05
在"flow-feature-master"项目中,我们可能找到了用于特征提取和模型训练的代码库。这个库可能包含了提取五元组特征和其他流量统计信息的函数,以及使用特定机器学习算法进行分类的脚本。通过运行这些代码,我们可以...
tcpdump - 数据包进行截获的包分析工具
墨鱼菜鸡
07-11 1374
From:http://www.cnblogs.com/ggjucheng/archive/2012/01/14/2322659.html 30 分钟掌握 tcpdump:http://zhuanlan.51cto.com/art/201701/527498.htm Androidtcpdump下载:https://www.androidt...
.cap .pcap数据文件(ipv4 转ipv6
09-29
把.cap .pcap文件中的ipv4数据包转换成对应的ipv6数据包,其他的数据包不变, 可以用于批量生产ipv6数据包(用于测试),资源包括源代码和已经编译好的exe,还有一个批量处理的.bat文件
使用WinPcap抓取ipv4和ipv6数据
07-31
之前的版本传错了,只有ipv4。此版本可以抓取ipv4和ipv6数据
pcap流量中提取文件的五种方法
l8947943的博客
07-07 1万+
找到一个pcap流量文件,使用如下命令,即可提取数据中的文件。 2. 安装NetworkMiner 下载地址:http://sourceforge.net/projects/networkminer/files/latest/download 下载后,使用该软件打开pcap文件提取文件即可。 安装完成后,使用如下命令: 4. 安装chaosreader 这个我还没测试过,先插眼,玩意后面需要使用。 工具地址:https://github.com/brendangregg/Chaosreader 使用如下命
pcap数据包解析及数据特征提取
热门推荐
无人机飞啊飞啊飞
10-26 1万+
pcap数据包解析及数据特征提取 #include #include #include #include #include #pragma pack(1) #define BUFSIZE 1526 #define STRSIZE 1024 typedef int bpf_int32; typedef unsigned int bpf_u_int32; typedef unsigned sh
cap,pcap文件中的ipv4数据包转成ipv6数据
mincheat的专栏
10-09 2249
cap , pcap文件结构(解析),网上多得是,这里就不写了。  写这个,主要是工作中正好需要大量的ipv6数据包,但是ipv6数据包不太好找,干脆就直接写个简单的工具,把ipv4转成对应的ipv6,可用于测试。  cpp代码: // Ipv4ToIpv6_pCap.cpp : 定义控制台应用程序的入口点。 // #include "stdafx.h" #include #de
pcap文件提取文本文件
qq_28808697的博客
07-27 1465
1、 #strings命令在对象文件或二进制文件中查找可打印的字符串。 strings output.txt >> output1.txt 其中 output.txt 是包含可打印字符串的pcap文件 2、从 output1.txt中查找包含start(忽略大小写)的行,使用uniq命令删除重复的行,然后写入到文件 transmitted.txt grep -i start output1.txt | uniq >> transmitted.txt 3、将transm.
网络流量pcap包特征提取并保存
weixin_47272625的博客
05-06 4449
新手写博客,写博客主要目的是为了记录自己做项目的一些过程。关于网络流量项目,刚开始做项目一个月左右,所写的博客必然有很多不足的地方,欢迎大家交流和指教。
Scapy 解析 pcap 文件从HTTP流量中提取图片
最新发布
09-17 3108
​ 通常我在网络嗅探与数据包分析中,使用 Wireshark 就可以很方便地浏览 pcap 文件的内容。但当捕获得流量很大或数据包特征不太明显,再或者数据包特征已确定,要从中进一步分析(提取)流量。以往采用人工方式可以说是种恶梦。幸运的是 Philippe Biondi 为 Python 开发的数据包处理库Scapy以精巧和令人惊叹,一两行代码就能解决上述问题(功能远远不止如此)。这里我会演示如何借助 Scapy 的 pcap 数据处理能力,从嗅探到的 HTTP 流量中提取图片。
python十六进制转pcap文件_python处理pcap文件——数据提取
weixin_35710880的博客
03-02 934
pcap文件中每个包进行内容提取提取pcap头每个包header和data部分,存入txt这是对网上的一份代码的优化修改#!/usr/bin/env python#coding=utf-8#读取pcap文件,解析相应的信息,为了在记事本中显示的方便,把二进制的信息import structimport time, datetimedef time_trans(GMTtime):#print(...
如何使用suricata6.0.9从pcap文件提取规则
03-31
其中,pcap_file.pcappcap文件的路径,extracted_rules.rules是提取出的规则文件的路径。 4. 检查提取出的规则: 可以使用以下命令检查提取出的规则是否存在问题: ``` sudo suricata -T -c extracted_rules....
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值