使用scapy分析pcap报文

需求:

1、读取wireshark捕获的pcap报文

2、过滤出特定报文

3、分析特定报文的间隔时间是否符合规律

关键函数或变量:

rdpcap()

filter():使用lambda函数

p.time

可用ls()查看报文支持的字段,由于链路层和IP层用的字段重复,可以用p[IP].src代表IP源地址,类型为字符串。

p.load表示原始数据区,类型为字符串。

时间: 2024-10-06 11:40:23

使用scapy分析pcap报文的相关文章

scapy 解析pcap文件总结

参考文献: http://blog.csdn.net/meanong/article/details/53942116 https://github.com/invernizzi/scapy-http  目录: 1. scapy存在的问题与解决方案 1.1 内存泄漏问题 1.2 解决方案 1.3 不支持HTTP协议解析 1.4 解决方案 2. pcap文件解析实例 1. scapy存在的问题与解决方案 1.1 内存泄漏问题 在使用 rdpcap() 函数读取pcap文件里的数据时,会发生内存泄漏

使用WireShark简单分析ICMP报文

ICMP协议介绍 1.ICMP是"Internet Control Message Protocol"(Internet控制消息协议)的缩写.它是TCP/IP协议族的一个子协议,用于在IP主机.路由器之间传递控制消息.控制消息是指网络通不通.主机是否可达.路由是否可用等网络本身的消息.这些控制消息虽然并不传输用户数据,但是对于用户数据的传递起着重要的作用. 2.ICMP报文作为IP层数据报的数据,加上数据报的首部,组成数据报发送出去. 3.ICMP报文的种类有两种,即ICMP差错报告报

分析pcap包(基于UDP)

//c代码 #include <stdlib.h> #include <stdio.h> #include <pcap.h> #include <string.h> #include <netinet/in.h> #include <time.h> #include <syslog.h> /* *.pcap file format = file header(24B) + pkt header(16B) + Frame *

Web协议详解与抓包实战:如何用Chrome的Network面板分析HTTP报文

一.Chrome 抓包:Network 面板 1. Network 面板 • 控制器:控制面板的外观与功能• 过滤器:过滤请求列表中显示的资源• 按住 Command (Mac)或 Ctrl (Window / Linux),然后点击过滤器可以同时选择多个过滤器• 概览:显示 HTTP 请求.响应的时间轴• 请求列表:默认时间排序,可选择显示列• 概要:请求总数.总数据量.总花费时间等 2.控制器 要跨页面加载保存请求Preserve log 用户的网络比较差的时候问题就可以复现 二.过滤器 1

基于DPI(深度报文解析)的应用识别2------实际分析

新浪微博的分析 早上刚刚起床先刷微博,打算就分析一下新浪微博.登陆之后抓取发布微博的数据包,进行分析. 1.抓包的要点: 1.关闭其他网络应用,保证本机网络流量的干净,便于分析. 2.先开启wireshark,后发布微博,微博发布成功立即停止,其他的应用类似. 3.查看conversion list ,太小的包没必要检查. 4.最关键的一点:一定抓取到3次握手,切记切记. 5.大部分应用都是基于TCP的,所以TCP优先分析,其次是UDP. 2.实际分析 1.筛选出TCP的回话列表,如图 我本地的

Windows下使用scapy+python2.7实现对pcap文件的读写操作

scapy在linux环境中对pcap文件进行操作非常方便,但在windows下,特别是在python2.7环境下却会碰到各种各样的依赖包无法使用的问题,最明显的可能就属dnet和pcap的python依赖包了,因为scapy的conf.use_pcap和conf.use_dnet在windows环境下无法进行配置,在scapy\arch\windows\__init__.py中都被强行置为1了,也就是必须使用pcap和dnet依赖包.具体代码如下所示 from scapy.sendrecv i

SNMP报文抓取与分析(一)

SNMP报文抓取与分析(一) 1.抓取SNMP报文 SNMP报文的形式大致如下图所示 我们这里使用netcat这个工具来抓取snmp的PDU(协议数据单元).(因为我们并不需要前面的IP和UDP首部) 关于netcat的一些基本使用可以看这里http://www.cnblogs.com/oloroso/p/4610563.html netcat获取snmp报文 1 先获取snmpwalk发出的(get-next-request) 我们使用nc来监听161端口,然后把输出重定向到文件a.hex.因

tcp、udp、ip、icmp报文格式分析

TCP .UDP .IP. ICMP协议报文格式分析 Tcp报文格式: Wireshark抓包如图: 源端口/目的端口(16bit): 在TCP报文中包涵了源端口/目的端口,源端口标识了发送进程,目的端口标识了接收方进程.由上图可以看出在此报文中我们的源端口号是54160, 目的端口是cichlid(1377). 序列号(32bit): Sequence Number这个是发送序列号,用来标识从源端向目的端发送的数据字节流,它表示在这个报文端中的第一个数据字节的顺序号,序列号是32位的无符号类型

NetAnalyzer笔记 之 二. 简单的协议分析

[创建时间:2015-08-27 22:15:17] NetAnalyzer下载地址 上篇我们回顾完了NetAnalyzer一些可有可无的历史,在本篇,我决定先不对NetAnalyzer做介绍,而是先要了解一些关于构建NetAnalyzer的基础知识,如系统中可以分析的一些网络协议,了解它们的分布方式,字段含义等.在了解了协议的基础上,开始对Winpcap进行一些介绍,在这过程中,学习配置Winpcap的开发环境,做一些简单的数据采集程序.第三部分着重介绍过滤表达式的一些基本语法结构.写下来则要