dpkt项目是一个Python模块,主要用于对网络数据包进行解析和操作。它可以处理多种协议,例如TCPUDPIP等,并提供了一些常用的网络操作功能,例如计算校验和、解析DNS数据包等。由于其简单易用的特性,dpkt被广泛应用于网络安全领域,例如流量分析、漏洞利用、入侵检测等。使用该库可以快速解析通过各类抓包工具抓到的数据包,从而提取分析包内的参数。

  • 安装DPKT工具:pip install dpkt

在分析数据包之前我们需要抓取特定数据包并保存为*.pcap格式,通常情况下这种数据包格式可通过WireShark等工具抓取到,当然也可以使用上一篇提到的Scapy库实现,该库中存在一个sniff函数,该函数可以实现网络抓包功能,如下一个演示案例我们分别通过sniff(count=2)函数抓取两个数据包并使用wrpcap()函数将其保存到文件内,当需要分析时可通过调用rdpcap()函数打开数据包即可实现分析。

>>> from scapy.all import *

>>>

>>> packets = sniff(count=2)                            # 动态抓取2个数据包

>>>

>>> wrpcap("d://lyshark.pcap",packets)                  # 保存数据包

>>> pcap_packets = rdpcap("d://lyshark.pcap")           # 读取数据包

>>>

>>> pcap_packets

<lyshark.pcap: TCP:2 UDP:0 ICMP:0 Other:0>

>>>

>>> pcap_packets.show()

0000 Ether / IP / TCP 192.168.1.101:63995 > 172.217.24.10:https S

0001 Ether / IP / TCP 192.168.1.101:63907 > 103.235.46.191:https A / Raw

>>>

>>> pcap_packets.summary()

Ether / IP / TCP 192.168.1.101:63995 > 172.217.24.10:https S

Ether / IP / TCP 192.168.1.101:63907 > 103.235.46.191:https A / Raw

>>>

>>> pcap_packets[0].dst

'FF:2d:1e:0f:1e:a1'

>>>

>>> pcap_packets[0].src

'a4:7e:33:ee:cc:b3'

>>>

# 如下分别代表: 链路层 [Ethernet]、网络层[IP]、传输层[TCP/UDP]、应用层[RAW]

>>> pcap_packets[0].show()

>>>

# 抓包后直接输出

>>> sniff(prn=lambda x: x.show(), count=1)

通过上方的抓包流程读者即可实现简单的抓包功能,当然sniff函数参数众多我们完全可以在抓包时增加不同的抓包条件,同时该函数也支持回调函数,当由新的请求被触发时则自动执行回调函数,如下则是使用Scapy抓包的完整案例,该案例展示了抓取60秒数据包,并将其保存至d://lyshark.pcap目录。

from scapy.all import *

import scapy.all as scapy

# 数据包回调函数

def packet_callback(packet):

    if packet[TCP].payload:

        m_packet = str(packet[TCP].payload)

        print("主机地址: {} ---> 数据包内容: {}".format(packet[IP].dst,packet[TCP].payload))

if __name__ == "__main__":

    # 抓取80端口的数据包并输出到屏幕

    # sniff(filter="tcp port 80", prn=packet_callback, store=0)

    # 抓取 过滤出tcp协议 抓取1分钟后保存到文件中

    package=sniff(filter="tcp", timeout=60, prn=packet_callback, store=1)

    wrpcap("d://lyshark.pcap", package)

运行上方抓包程序,读者可看到如下图所示的输出结果,等待60秒后即可看到d://lyshark.pcap文件。

当读者抓取到这些数据包之后,下一步则是解析这些数据包,解析的方法有许多可以使用DPKT解析,也可以使用scapy自带的工具解析,本章首先介绍如何使用Scapy工具实现解析数据包内的HTTP请求,并输出的功能,如下是完整的代码实现;

from scapy.all import *

import scapy.all as scapy

# 解析获取到的数据包

def get_http_pcap(pcap_path):

    pcap_infos = list()

    packets = scapy.rdpcap(pcap_path)

    for p in packets:

        if p.haslayer("IP"):

            src_ip = p["IP"].src

            dst_ip = p["IP"].dst

        if p.haslayer("TCP"):

            raw_http = p["TCP"].payload.original

            sport = p["TCP"].sport

            dport = p["TCP"].dport

        if p.haslayer("HTTPRequest"):

            host = p["HTTPRequest"].Host

            uri = p["HTTPRequest"].Path

            http_fields = p["HTTPRequest"].fields

            # print("主机地址: {} --> URI: {}".format(host,uri))

        print("原IP地址: {}:{} --> 目标IP地址: {}:{}".format(src_ip,sport,dst_ip,dport))

if __name__ == "__main__":

    get_http_pcap("d://lyshark.pcap")

读者可自行运行上述代码,并传入刚才抓取到的lyshark.pcap数据包,此时则可解析出当前数据包中所有HTTP访问数据,如下图所示;

对于数据包的解包功能,Dpkt工具包也可以很好的完成,对于使用Dpkt解包而言,首先需要通过open()打开数据包,接着调用dpkt.pcap.Reader(fp)将文件内的字节转化为PCAP格式,最后调用自定义函数GetDpkt根据字段进行解析即可。

import dpkt

import socket

def GetDpkt(pcap):

    for timestamp,packet in pcap:

        try:

            eth = dpkt.ethernet.Ethernet(packet)

            ip = eth.data

            tcp = ip.data

            src = socket.inet_ntoa(ip.src)

            dst = socket.inet_ntoa(ip.dst)

            sport = tcp.sport

            dport = tcp.dport

            print("[+] 源地址: {}:{} --> 目标地址:{}:{}".format(src,sport,dst,dport))

        except Exception:

            pass

# 检测主机是否被DDOS攻击了

def FindDDosAttack(pcap):

    pktCount = {}

    for timestamp,packet in pcap:

        try:

            eth = dpkt.ethernet.Ethernet(packet)

            ip = eth.data

            tcp = ip.data

            src = socket.inet_ntoa(ip.src)

            dst = socket.inet_ntoa(ip.dst)

            sport = tcp.sport

            # 累计判断各个src地址对目标地址80端口访问次数

            if dport == 80:

                stream = src + ":" + dst

                if pktCount.has_key(stream):

                    pktCount[stream] = pktCount[stream] + 1

                else:

                    pktCount[stream] = 1

        except Exception:

            pass

    for stream in pktCount:

        pktSent = pktCount[stream]

        # 如果超过设置的检测阈值500,则判断为DDOS攻击行为

        if pktSent > 500:

            src = stream.split(":")[0]

            dst = stream.split(":")[1]

            print("[+] 源地址: {} 攻击: {} 流量: {} pkts.".format(src,dst,str(pktSent)))

# FindPcapURL 监控提取数据包中的所有URL

def FindPcapURL(pcap):

    Url = []

    for timestamp,packet in pcap:

        try:

            eth = dpkt.ethernet.Ethernet(packet)

            ip = eth.data

            src = socket.inet_ntoa(ip.src)

            tcp = ip.data

            http = dpkt.http.Request(tcp.data)

            if(http.method == "GET"):

                UrlHead = http.headers

                for key,value in UrlHead.items():

                    url = re.findall('^https*://.*',str(value))

                    if url:

                        print("[+] 源地址: %10s --> 访问URL: %-80s"%(src, url[0]))

        except Exception:

            pass

    return set(Url)

# 动态保存pcap文件(每1024字节保存一次pcap文件),并读取出其中的网址解析出来

def write_cap(pkt):

    global pkts

    global count

    pkts.append(pkt)

    count += 1

    if count == 1024:

        wrpcap("data.pcap",pkts)

        fp = open("./data.pcap","rb")

        pcap = dpkt.pcap.Reader(fp)

        FindPcapURL(pcap)

        fp.close()

        pkts,count = [],0

if __name__ == "__main__":

    fp = open("d://lyshark.pcap","rb")

    pcap = dpkt.pcap.Reader(fp)

    GetDpkt(pcap)

运行上述代码,同样可以输出这些IP信息,如下图所示;

本文作者: 王瑞

本文链接: https://www.lyshark.com/post/29b6bdae.html

版权声明: 本博客所有文章除特别声明外,均采用 BY-NC-SA 许可协议。转载请注明出处!

21.3 Python 使用DPKT分析数据包的更多相关文章

  1. 使用winpcap多线程抓包,以及简单的分析数据包

    刚开始使用winpcap数据包的时候,我在抓包的时候使用了 pcap_loop(adhandle, 0, packet_handler, NULL); 这个回调函数进行抓包.同时在回调函数中分析IP地 ...

  2. Wireshark数据抓包教程之认识捕获分析数据包

    Wireshark数据抓包教程之认识捕获分析数据包 认识Wireshark捕获数据包 当我们对Wireshark主窗口各部分作用了解了,学会捕获数据了,接下来就该去认识这些捕获的数据包了.Wiresh ...

  3. ARPSpoofing教程(四) - 捕获并分析数据包

    本程序的主要目标是展示如何解析所捕获的数据包的协议首部. 这个程序可以称为UDPdump,打印一些网络上传输的UDP数据的信息. 1: #include"pcap.h" 2: ty ...

  4. #WEB安全基础 : HTTP协议 | 0x7 学会使用wireshark分析数据包

    wireshark是开源,免费,跨平台的抓包分析工具 我们可以通过wireshark学习HTTP报文和进行抓包分析,在CTF中的流量分析需要用到抓包 1.下载和安装 这是wireshark的官网 ht ...

  5. python+pcap+dpkt 抓包小实例

    #!/usr/bin/env python # -*- coding: utf-8 -*- """ 网络数据包捕获与分析程序 """ imp ...

  6. python+pcap+dpkt抓包小实例

    通过pcap与dpkt抓包解包示例: #!/usr/bin/env python # -*- coding: utf-8 -*- """ 网络数据包捕获与分析程序 &qu ...

  7. snmp数据包分析

    今天看了一下snmp数据包的报文格式,用wireshark抓了两个数据包来分析. 先说说snmp get-request的书报包格式吧,get-next-request,get-response,se ...

  8. python数据包之利器scapy用法!

    scapy介绍:  在python中可以通过scapy这个库轻松实现构造数据包.发送数据包.分析数据包,为网络编程之利器! scapy安装: pip install scapy   ======> ...

  9. 可视化数据包分析工具-CapAnalysis

    可视化数据包分析工具-CapAnalysis 我们知道,Xplico是一个从pcap文件中解析出IP流量数据的工具,本文介绍又一款实用工具-CapAnalysis(可视化数据包分析工具),将比Xpli ...

  10. 基于TILE-GX实现快速数据包处理框架-netlib实现分析【转】

    最近在研究suricata源码,在匹配模式的时候,有tilegx mpipe mode,转载下文,了解一下. 原文地址:http://blog.csdn.net/lhl_blog/article/de ...

随机推荐

  1. Lord Of The Root: 1.0.1实战

    前言 Description:我创建这台机器是为了帮助其他人学习一些基本的CTF黑客策略和一些工具.我瞄准了这台机器,使其在难度上与我在OSCP上破解的机器非常相似. 这是一个引导到根计算机将不需要任 ...

  2. P3047 [USACO12FEB]Nearby Cows G 题解

    P3047 [USACO12FEB]Nearby Cows G 题目描述 思路 使用换根DP, 设 \(dp[i][j]\) 表示以 \(i\) 为根节点的子树中深度小于等于 \(j\) 的点的权值之 ...

  3. 【Nginx】Nginx访问静态资源

    Nginx访问静态资源 即通过IP:端口/文件名 访问文件实现. 修改Nginx配置 location / { # root html; # index index.html index.htm; a ...

  4. 【线上技术分享】即构&MobTech袤博移动游戏开发者全能进阶沙龙

    游戏行业的兴起与当前移动互联网用户碎片化.休闲化的生活特征密不可分,在用户旺盛的需求下,游戏行业迎来了绝佳的发展机遇,今年上半年已多款游戏DAU过亿. 市场的火爆也为游戏行业带来了异常激烈的竞争,加上 ...

  5. MapReduce实现TopN的效果

    1.背景 最近在学习Hadoop的MapReduce,此处记录一下如何实现 TopN 的效果,以及在MapReduce中如何实现 自定义分组. 2.需求 我们有一份数据,数据中存在如下3个字段,订单编 ...

  6. FireflySoft.LeaderElection增加基于ZooKeeper的Leader选举

    FireflySoft.LeaderElection的第一个版本实现了基于Consul的Leader选举,考虑到ZooKeeper的一个常见用途也是选主,所以此类库把ZooKeeper也集成了进来.并 ...

  7. Vue通过v-modal实现子组件通讯

    1.在props设置属性value props: { value: { type: Object, default: {} } } 1.设置data数据,接收value,在mounted或create ...

  8. Git: remote: The project you were looking for could not be found.

    解决方案 最简单的是在电脑的用户凭证中修改,改为正确的结果. 特殊情况 既只对改项目配置,不影响全局 命令如下: 克隆 git clone http://username:password@xxx.c ...

  9. java与es8实战之六:用JSON创建请求对象(比builder pattern更加直观简洁)

    欢迎访问我的GitHub 这里分类和汇总了欣宸的全部原创(含配套源码):https://github.com/zq2599/blog_demos 本篇概览 本文是<java与es8实战>系 ...

  10. 在本地运行Kusto服务器

    我喜欢Kusto (或商用版本 Azure Data Explorer,简称 ADX) 是大家可以有目共睹的,之前还专门写过这方面的书籍,请参考 大数据分析新玩法之Kusto宝典, 很可能在今年还会推 ...