python scapy填充公共pcap数据集负载实现流量重放

最新推荐文章于 2024-04-10 05:03:52 发布
最新推荐文章于 2024-04-10 05:03:52 发布
阅读量3.2k 收藏 22
点赞数 9
分类专栏: 软件定义网络 文章标签: 网络传输 网络协议 python 计算机网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yyd19981117/article/details/116597956
版权

前言

 

在计算机网络领域的实验中,为了测试所提出的网络模型的性能,需要在模拟的环境中(如NS-2,SDN-Mininet)构建网络的背景流量。

然而,如果自己编写脚本发包(套接字,多线程等)或者使用发包工具(iperf、D-ITG等)作为背景流量生成器会存在两个缺陷,一是这些脚本发包速率特别稳定,不容易有波动,仿真的效果不够理想(比如,攻击的检测率太高);二是自己编写的脚本往往参数过于理想化,而发包工具通常也依赖于特定的发包参数的输入(每秒包数、字节数、带宽等),容易被审稿人怼不符合实际的网络情况。

因此很多论文都用到了pcap格式的公共数据集作为背景流量,比如CAIDA、WIDE、UNB系列(具体能用的可以看:https://blog.csdn.net/answer3lin/article/details/86480662

然而,下载下来这些数据集,用tcpreplay重放会出现问题,当修改数据包的源和目的IP地址的时候会报错,提示包过短:

Fatal Error: Error rewriting packets: From tcpedit.c:tcpedit_packet() line 172:
Packet length 60 is to short to contain a layer 52 byte IP header for DLT 0x0001

如下图:

出现这种现象的原因是公共数据集的隐私性,出于保护用户隐私,这些机构在创建数据集时仅保留了头部信息(否则,一些不加密的协议,比如HTTP,数据就会泄露)

看一下数据包,发现pcap数据集里面没有负载,如下图:(数据来自IMC-10,univ1_pt1.pcap)

本文来解决上述问题,为匿名数据集的pcap中填入负载,让这些pcap能够被tcpreplay修改并重放。

 

数据集推荐

 

WIDE系列:http://mawi.wide.ad.jp/mawi/

IMC系列:http://pages.cs.wisc.edu/~tbenson/IMC10_Data.html

本文使用WIDE数据集作为示例,具体是2020年10月12日下午2点的数据:http://mawi.wide.ad.jp/mawi/samplepoint-F/2020/202010121400.html

 

数据集预处理

 

这个数据集非常大,大概解压了接近7G,所以我对数据集进行了分片,每2000个包一片。实验时只用了第一个2000包的片。

具体操作采用Wirshark自带的editcap.exe -c实现。

pcap数据集拆分参考百度经验:https://jingyan.baidu.com/article/63f2362854be2e0208ab3d20.html

另外,我忽略了所有的IPv6包,过滤了其他的协议,只保留IP层的协议,即TCP/UDP/ICMP,所用的过滤器是:

tcp || udp || icmp

并且输入过滤器:

ipv6

Ctrl-A选中全部,Ctrl-D忽略。

最终得到的这个2000包的pcap文件我上传了网盘。

链接:https://pan.baidu.com/s/1GmrZg35ogbJHPp0vkx5bOA

提取码:r12i

 

分析

1、分层信息获取

编写python代码,查看数据集的第一个包:

from scapy.all import *
from scapy.utils import PcapReader
import scapy.all as scapy

pkt=rdpcap("test_spilt_00000_20201012130000.pcap")

pkt[0].show()

我们得到:

 

对比Wireshark的数据,我们可以发现,Wireshark显示的是1444字节,而IP层显示的是1430字节,多出了14字节:

我们得到结论,这多出来的14字节来自于IP层以下的Ethernet层,其中包含源和目的MAC地址,以及协议类型,也就是14字节。

所以,Wireshark里面的len是数据包的真实大小,而scapy show里面的len,则是数据包在IP层(含)以上的所有负载,不包括IP层以下的层次。

其它层的信息也可以通过show()函数进行打印,如果直接print会出现乱码。

 

2、payload,payload.name的使用,确定填充的数据大小

 

2-1:计算L2层大小:证明

如上所述,数据包的len字段,仅表示数据包的IP层以及IP层以上层数的总大小,并不包含L2层的头部大小信息,且scapy并不能从Wireshark里面直接获取Length,因此我们需要编程计算L2层的大小(即MAC那一层)。

现在我们证明,为什么需要计算L2层大小:

1、对于一个未知总长度且可能不完整的数据包,假设它是pkt,我们可以调用pkt.len,获取该数据包在L3(IP层)及以上的总大小,其中就包括负载。

2、同时我们可以调用len(pkt),得到当前不完整的数据包的大小。

3、那么我们计算len(pkt)-pkt.len,即用当前未填充的数据包大小,减去L3及以上应当有(但是实际上很可能没有这个长度,因为数据包未填充data)的长度,就得到了一个差值,记为cur_L2。

4、如果cur_L2等于我们计算出的数据包实际L2大小,那么说明这个数据包是完整的,无需填充任何负载数据,该数据包无需任何操作。(对于无需携带负载的ICMP数据,这一点必须先判断)

5、如果cur_L2不等于(小于)我们计算出的数据包实际L2大小,那么说明,该数据包除了L2、L3的基本信息以外,还应当包含额外的数据。原本携带的数据越大,L3以上的长度,pkt.len也越大,计算得到的cur_L2的数值越小,可能是负数。

6、最后判断:如果cur_L2不等于实际计算得到的L2,那么就需要填充数据。

其实,不同的数据集L2的大小也不固定,比如WIDE里面Ethernet层就是常规的14字节,而IMC-10数据集中L2包含了802.1Q,它的Ethernet是18字节。

因此,实际计算时,L2的大小不能被固定声明,应当依据2-2节的方法进行计算。

 

2-2:计算L2与L3层大小:实现(payload)

使用数据集,执行代码:

from scapy.all import *
from scapy.utils import PcapReader
import scapy.all as scapy

pkt=rdpcap("test_spilt_00000_20201012130000.pcap")

print(pkt[0].name)
print(len(pkt[0]))

print(pkt[0].payload.name)
print(len(pkt[0].payload))

print(pkt[0].payload.payload.name)
print(len(pkt[0].payload.payload))

得到输出:

Ethernet
54
IP
40
TCP
20

我们发现,payload函数就是现实数据包的当前层次信息,且多次调用payload时,会显示更高一层的信息。

使用payload.name打印当前层的名称。

(参考:https://blog.csdn.net/meanong/article/details/53942671

 

因此,我们代码的实现思路是:

1、首先记录数据包当前的总大小,调用len()函数即可;

2、从整个数据包开始,不断调用其payload.name,判断如果payload.name不是‘IP’,那么循环调用其payload的name。

(这么做是因为,L2的大小不定,不一定仅包含Ethernet,还可能有802.1之类的玩意,到时候填充内容不准,会出现safe_pcap_next ERROR: Invalid packet length in tcprewrite.c:rewrite_packets() line 260: packet length=1444 capture length=1445之类的错误,这个错误就是由于填充后,数据包的实际长度和原始(预期的)长度不符导致的)

3、如果某次循环中,payload的name是'IP',那么此时调用len()函数,获取该数据包当前IP层及之上的大小;

4、用第1步的结果减去第3步的结果,就是整个L2的大小,其中第3步获取的是数据包当前的L3及之上的大小。

 

代码的函数实现是:

def get_l2_l3_length(pkt):
    pkt_layer = pkt
    total_length = len(pkt)
    while pkt_layer.name != 'IP':
        pkt_layer = pkt_layer.payload
    l3_length = len(pkt_layer)
    l2_length = total_length - l3_length
    return l2_length, l3_length

 

2-3:计算所需填充的数据大小

在2-2节的代码第3步,我们获得了不完整的数据包L3及以上的当前长度,记为l3_length

那么我们现在可以直接调用数据包的len字段,它代表数据包L3及以上层次应有的总长度,记为len

此时,计算:len-l3_length,就是所需填充的数据量大小。

返回一个这么大的字符串即可,使用scapy中的分层:“/”,就可以增加负载了。

 

代码实现

from scapy.all import *
from scapy.utils import PcapReader
import scapy.all as scapy

def generate_payload(length):
    payload = length * '0'
    return payload

def get_l2_l3_length(pkt):
    pkt_layer = pkt
    total_length = len(pkt)
    while pkt_layer.name != 'IP':
        pkt_layer = pkt_layer.payload
    l3_length = len(pkt_layer)
    l2_length = total_length - l3_length
    return l2_length, l3_length
   
pkt=rdpcap("test_spilt_00000_20201012130000.pcap")

pkt_list = []
for i in range (0, len(pkt)):

    tmp_pkt = pkt[i]
    l2_length, l3_length = get_l2_l3_length(tmp_pkt)
    
    if tmp_pkt.proto != 1:
        if (len(tmp_pkt) - tmp_pkt.len) != l2_length:
            tmp_pkt = tmp_pkt / generate_payload(tmp_pkt.len-l3_length)
                
    pkt_list.append(tmp_pkt)

scapy.wrpcap('ip_load.pcap', pkt_list)

 

后续步骤

 

此时,匿名的pcap数据集已经填充完毕,经过tcpreplay的修改IP和MAC地址,计算校验和就可以重放,构建网络测试的背景流量了。

具体步骤请阅读我的另一篇博客:https://blog.csdn.net/yyd19981117/article/details/114301857?spm=1001.2014.3001.5501

 

 

裕东方
关注
  • 9
    点赞
  • 22
    收藏
    觉得还不错? 一键收藏
  • 8
    评论
专栏目录
使用Scapy回放报文pcap
weixin_30471561的博客
02-23 2603
一、准备环境: Ubuntu + python2.7 sudo apt-get install python-scapy 二、准备报文: 先抓取一些报文,本实验使用的是DHCP的报文。 文件-导出特定分组-选择保存为*.pcap文件,把pcap文件拷贝到Ubuntu电脑上。 三、启动scapy 并发送dhcp.pcap抓包的第二个报文DHCP Discove...
python重放plc_当使用scapypython脚本重放pcap文件时,如何修复TCP超出范围序号错误?...
weixin_29620579的博客
02-04 360
使用下面的python脚本从Debian机器重放PCAP文件。在from scapy.all import *global src_ip, dst_ipsrc_ip = "10.1.1.14"dst_ip = "10.1.1.1"src_mac = "Src_mac_addr"dst_mac = "Dst_mac_addr"infile = "mms.pcap"def my_send(rd, c...
python使用scapy修改替换pcap的payload
01-21
python使用scapy修改替换pcap的payload 例如替换http get请求的内容,替换tcp负载内容
Python自动化测试之线上流量回放:分析、存储与本地化支持(1)
最新发布
04-10 527
Python自动化测试中的线上流量回放技术可以模拟真实用户行为,验证系统的性能和稳定性。通过日志分割解析、存储至本地MySQL数据,以及本地化存储URL、Method、Headers和Body等操作,我们可以更加灵活地进行流量回放,并对线上用户信息进行分析。希望本文提供的实战代码和方法能够帮助你理解和应用Python自动化测试中的线上流量回放技术。
修改pcap重放
SHELLCODE_8BIT的博客
04-12 209
使用科莱修改后,直接tcpreplay -i 网卡 your.pcap即可。
python scapy修改替换Pcap负载
weixin_45154431的博客
04-07 770
在恶意流量种类的选择方面,经过特征选择,最终得到某种恶意流量的特征存在于负载当中,其中包含一些恶意的网站等,接收到这种恶意流量后会被感染,并变成恶意流量发送端。基于此,采用更换负载内容以达到增加恶意流量数据的目的。使用scapy进行对数据包的解析,以及希望通过更改负载内容从而生成新的恶意流量数据。
scapy 修改pcap数据包再使用tomahawk发包的问题
Recar的博客
10-10 2838
scapy使用 rdpcap读取数据包 pcap = rdpcap(pcap_path) 然后修改源ip地址这样 pcap[x]["IP"].src = "修改后的ip地址" 很多使用的地方可以直接运行 scapy 测试 或者参考文档 def mod_pcap_src(pcap_path,ip): pcap = rdpcap(pcap_path) new_pcap = [] ...
利用PythonScapy解析pcap文件的方法
09-19
今天小编就为大家分享一篇利用PythonScapy解析pcap文件的方法,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
python使用scapy实现修改pcap响应头中的Date字段内容
11-02
修改pcap包,如果包含http响应头,修改其中的date字段,重新生成新的pcappython环境3.9.9,scapy版本:2.5.0
利用scapy等模块进行流量包的抓取并保存为pcap文件
08-19
利用scapy等模块进行流量包的抓取并保存为pcap文件,过滤语法为BPF
windows下python使用scapy修改替换pcap文件的ether或tcp的payload
qq_29060627的博客
06-07 833
系统:Windows 10 x64或者win7 x64。python使用3.8版本。
pcap报文回放工具
04-22
window下pcap文件的回放工具,基于python scapy、pyqt5开发。需要源码的请私信。
scrapy怎么post 请求payload形式的参数的实现;还有requests实现方式
retime123的博客
05-18 1851
payload是什么就不说了! https://mp.csdn.net/postedit/80363125 一、payload在浏览器上的数据 浏览器上请求方式: 2.payload参数: 可以看出来参数形式是json 3.headers: 4.response: 可以看出来是json的数据! 二、在scrapy中访问payload形式的url ...
python之用scapy分层解析pcap报文(Ethernet帧、IP数据包、TCP数据包、UDP数据包、Raw数据包)
热门推荐
GFS_lele的博客
03-27 2万+
一、工具准备   下载安装scapy(https://blog.csdn.net/qq_23977687/article/details/88046257) 二、scapy用法   1.1、得到数据   有两种方式,实时抓包,读取 pcap文件   实时抓包:利用sniff方法来实现(eth0是要检测的网卡名,count是抓包的数量) from scapy.all import...
scapy 解析pcap数据包笔记
abc
04-16 6036
scapy 解析pcap数据包笔记 1 from scapy.all import * def analyzePcap(filepath): s1 = PcapReader(filepath) # data 是以太网 数据包 data = s1.read_packet() ip_packet = data.payload icmp_packet = ip_packet.payload payload = icmp_packet.payload
tcpreplay介绍以及源码分析
zhongyoubing的博客
01-27 4461
tcpreplay介绍tcpreplay主要用于重放pcap数据包,还可以对pcap文件进行修改,比如修改ip地址和端口号等,其中主要包含了一下几个模块:tcpreplay:pcap重放模块,其中提供了包重放速度控制,循环控制,重放模式等功能。tcpreweite: 修改网络中mac,IP地址,端口信息。tcpbrige:利用tcprewrite的功能实现两个网络部分的桥tcpreplay的作者在...
[Python] 解析Pcap三个Python(Dpkt Scapy Pyshark)应用实例
coderge's CSDN Blog.
06-10 1万+
如果要处理pcap文件,python有仨比较有名(如果有传输层的话) 包含以下信息。 Pyshark Or Wireshark 如果只是想要所有packet的[src_IP, dst_IP, src_MAC, dst_MAC, Protocol, TimeStamp, Info]等信息,可以直接打开Wireshark导出这个操作也可以用Pyshark完成。 使用 PyShark 和 scapypcap 文件中读取字段并填充 CSV pcap 中的每个数据包都呈现到 csv 文件的一行中。要提取的特
python+scapy进行修改pcap报文
小白成长之路的博客
07-07 2873
python+scapy简单修改数据包
使用scapy回放wireshark抓到的包
分享博主日常学习和使用的一些技术
07-21 2736
流量回放是我很感兴趣的一个领域,我一直在想如果我能够使用wireshark抓包,那么能不能把这个包个回放呢? wireshark抓包后保存为pcap文件。 当然也可以使用tcpdump抓包保存为pcap文件 什么是pcap文件? pcap可以理解为一种用来存储报文的格式。 scapy中的rdpcap函数可以读取pcap文件。 scapy读取完pcap后,其实只是对这个文件的解析,如果想把这个报文发送出去,还要使用sendp函数进行发送。 scapy send vs sendp? ...
python scapy 解析 pcap
12-16
以下是使用Python Scapy解析pcap文件的方法: ```python from scapy.all import * # 读取pcap文件 pkts = rdpcap('test.pcap') # 访问第n个包 pkt = pkts[n] # 循环读取每个包 for pkt in pkts: # 对每个包进行处理 ... ``` 使用Scapy,我们可以轻松地读取pcap文件并访问其中的数据包。可以使用rdpcap()方法读取pcap文件,然后使用列表索引访问每个数据包。我们还可以使用循环来遍历所有数据包,并对每个数据包进行处理。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 8
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值