我要评论1 pyshark库
支持wireshark的解析等。
安装pyshark
pip install pyshark
2 dpkt库
这也是一个用于分析pcap文件的库,是所有分析pcap库中最快的一个。
官方参考文档:
https://dpkt.readthedocs.io/en/latest/print_packets.html
https://dpkt.readthedocs.io/en/latest/examples.html#examples-in-dpkt-examples
安装
pip install dpkt
3 应用实例
dpkt读pcap文件
f = open('new1.pcap','rb')
pcap = dpkt.pcap.reader(f)
# ts是timestemp时间戳,buf(二进制数据)是主体的数据包信息。
for ts,buf in pcap:
pass
获取每个数据包的ip地址
#由buf这个二进制数据转化为ethernet类的对象
eth = dpkt.ethernet.ethernet(buf)
ip_src = eth.data.src #这里是获取这个数据包的源ip
#要注意的是,这里的源ip是以二进制的方式返回的,如果我们要获取点分十进制的ip地址
#可以这样做
def inet_to_str(inet):
try:
return socket.inet_ntop(socket.af_inet,inet)
except:
return false#这里因为具体需要把ipv6给丢弃了
#如果希望ipv6也能获取可以这样
#return socket.inet_ntop(socket.af_inet6,inet)
ip_src = inet_to_str(eth.data.src)
ip_dst = inet_to_str(eth.data.dst)#目的ip\
获取报文中的ip
#coding=utf-8
import dpkt
import socket
import time
def inet_to_str(inet):
try:
return socket.inet_ntop(socket.af_inet,inet)
except:
return false
def getip():
f = open('new1.pcap','rb')#要以rb方式打开,用r方式打开会报错
pcap = dpkt.pcap.reader(f)
for ts,buf in pcap:
print(ts)打印时间戳
eth=dpkt.ethernet.ethernet(buf)
#这里也是对没有ip段的包过滤掉
if eth.type != dpkt.ethernet.eth_type_ip:
continue
ip = eth.data
ip_src = inet_to_str(ip.src)
ip_dst = inet_to_str(ip.dst)
print(ip_src+'-->'+ip_dst)
if __name__=='__main__':
getip()
修改报文中的源ip和目的
import dpkt
import os
import socket
test = open("new.pcap","wb")
writer = dpkt.pcap.writer(test)
f=open("old.pcap",'rb')
packets = dpkt.pcap.reader(f)
for ts,buf in packets:
eth = dpkt.ethernet.ethernet(buf)
# 这里是将点分十进制转化成二进制
eth.data.src = socket.inet_pton(socket.af_inet, "192.168.1.1")
eth.data.dst = socket.inet_pton(socket.af_inet, "192.168.1.2")
writer.writepkt(eth,ts=ts)#不加ts参数,数据包时间戳会默认为当前时间
test.flush()
test.close()
到此这篇关于使用python分析wireshark文件的文章就介绍到这了,更多相关python分析wireshark文件内容请搜索代码网以前的文章或继续浏览下面的相关文章希望大家以后多多支持代码网!
发表评论