dpkt项目是一个Python模块,主要用于对网络数据包进行解析和操作。它可以处理多种协议,例如TCPUDPIP等,并提供了一些常用的网络操作功能,例如计算校验和、解析DNS数据包等。由于其简单易用的特性,dpkt被广泛应用于网络安全领域,例如流量分析、漏洞利用、入侵检测等。使用该库可以快速解析通过各类抓包工具抓到的数据包,从而提取分析包内的参数。

  • 安装DPKT工具:pip install dpkt

在分析数据包之前我们需要抓取特定数据包并保存为*.pcap格式,通常情况下这种数据包格式可通过WireShark等工具抓取到,当然也可以使用上一篇提到的Scapy库实现,该库中存在一个sniff函数,该函数可以实现网络抓包功能,如下一个演示案例我们分别通过sniff(count=2)函数抓取两个数据包并使用wrpcap()函数将其保存到文件内,当需要分析时可通过调用rdpcap()函数打开数据包即可实现分析。

>>> from scapy.all import *

>>>

>>> packets = sniff(count=2)                            # 动态抓取2个数据包

>>>

>>> wrpcap("d://lyshark.pcap",packets)                  # 保存数据包

>>> pcap_packets = rdpcap("d://lyshark.pcap")           # 读取数据包

>>>

>>> pcap_packets

<lyshark.pcap: TCP:2 UDP:0 ICMP:0 Other:0>

>>>

>>> pcap_packets.show()

0000 Ether / IP / TCP 192.168.1.101:63995 > 172.217.24.10:https S

0001 Ether / IP / TCP 192.168.1.101:63907 > 103.235.46.191:https A / Raw

>>>

>>> pcap_packets.summary()

Ether / IP / TCP 192.168.1.101:63995 > 172.217.24.10:https S

Ether / IP / TCP 192.168.1.101:63907 > 103.235.46.191:https A / Raw

>>>

>>> pcap_packets[0].dst

'FF:2d:1e:0f:1e:a1'

>>>

>>> pcap_packets[0].src

'a4:7e:33:ee:cc:b3'

>>>

# 如下分别代表: 链路层 [Ethernet]、网络层[IP]、传输层[TCP/UDP]、应用层[RAW]

>>> pcap_packets[0].show()

>>>

# 抓包后直接输出

>>> sniff(prn=lambda x: x.show(), count=1)

通过上方的抓包流程读者即可实现简单的抓包功能,当然sniff函数参数众多我们完全可以在抓包时增加不同的抓包条件,同时该函数也支持回调函数,当由新的请求被触发时则自动执行回调函数,如下则是使用Scapy抓包的完整案例,该案例展示了抓取60秒数据包,并将其保存至d://lyshark.pcap目录。

from scapy.all import *

import scapy.all as scapy

# 数据包回调函数

def packet_callback(packet):

    if packet[TCP].payload:

        m_packet = str(packet[TCP].payload)

        print("主机地址: {} ---> 数据包内容: {}".format(packet[IP].dst,packet[TCP].payload))

if __name__ == "__main__":

    # 抓取80端口的数据包并输出到屏幕

    # sniff(filter="tcp port 80", prn=packet_callback, store=0)

    # 抓取 过滤出tcp协议 抓取1分钟后保存到文件中

    package=sniff(filter="tcp", timeout=60, prn=packet_callback, store=1)

    wrpcap("d://lyshark.pcap", package)

运行上方抓包程序,读者可看到如下图所示的输出结果,等待60秒后即可看到d://lyshark.pcap文件。

当读者抓取到这些数据包之后,下一步则是解析这些数据包,解析的方法有许多可以使用DPKT解析,也可以使用scapy自带的工具解析,本章首先介绍如何使用Scapy工具实现解析数据包内的HTTP请求,并输出的功能,如下是完整的代码实现;

from scapy.all import *

import scapy.all as scapy

# 解析获取到的数据包

def get_http_pcap(pcap_path):

    pcap_infos = list()

    packets = scapy.rdpcap(pcap_path)

    for p in packets:

        if p.haslayer("IP"):

            src_ip = p["IP"].src

            dst_ip = p["IP"].dst

        if p.haslayer("TCP"):

            raw_http = p["TCP"].payload.original

            sport = p["TCP"].sport

            dport = p["TCP"].dport

        if p.haslayer("HTTPRequest"):

            host = p["HTTPRequest"].Host

            uri = p["HTTPRequest"].Path

            http_fields = p["HTTPRequest"].fields

            # print("主机地址: {} --> URI: {}".format(host,uri))

        print("原IP地址: {}:{} --> 目标IP地址: {}:{}".format(src_ip,sport,dst_ip,dport))

if __name__ == "__main__":

    get_http_pcap("d://lyshark.pcap")

读者可自行运行上述代码,并传入刚才抓取到的lyshark.pcap数据包,此时则可解析出当前数据包中所有HTTP访问数据,如下图所示;

对于数据包的解包功能,Dpkt工具包也可以很好的完成,对于使用Dpkt解包而言,首先需要通过open()打开数据包,接着调用dpkt.pcap.Reader(fp)将文件内的字节转化为PCAP格式,最后调用自定义函数GetDpkt根据字段进行解析即可。

import dpkt

import socket

def GetDpkt(pcap):

    for timestamp,packet in pcap:

        try:

            eth = dpkt.ethernet.Ethernet(packet)

            ip = eth.data

            tcp = ip.data

            src = socket.inet_ntoa(ip.src)

            dst = socket.inet_ntoa(ip.dst)

            sport = tcp.sport

            dport = tcp.dport

            print("[+] 源地址: {}:{} --> 目标地址:{}:{}".format(src,sport,dst,dport))

        except Exception:

            pass

# 检测主机是否被DDOS攻击了

def FindDDosAttack(pcap):

    pktCount = {}

    for timestamp,packet in pcap:

        try:

            eth = dpkt.ethernet.Ethernet(packet)

            ip = eth.data

            tcp = ip.data

            src = socket.inet_ntoa(ip.src)

            dst = socket.inet_ntoa(ip.dst)

            sport = tcp.sport

            # 累计判断各个src地址对目标地址80端口访问次数

            if dport == 80:

                stream = src + ":" + dst

                if pktCount.has_key(stream):

                    pktCount[stream] = pktCount[stream] + 1

                else:

                    pktCount[stream] = 1

        except Exception:

            pass

    for stream in pktCount:

        pktSent = pktCount[stream]

        # 如果超过设置的检测阈值500,则判断为DDOS攻击行为

        if pktSent > 500:

            src = stream.split(":")[0]

            dst = stream.split(":")[1]

            print("[+] 源地址: {} 攻击: {} 流量: {} pkts.".format(src,dst,str(pktSent)))

# FindPcapURL 监控提取数据包中的所有URL

def FindPcapURL(pcap):

    Url = []

    for timestamp,packet in pcap:

        try:

            eth = dpkt.ethernet.Ethernet(packet)

            ip = eth.data

            src = socket.inet_ntoa(ip.src)

            tcp = ip.data

            http = dpkt.http.Request(tcp.data)

            if(http.method == "GET"):

                UrlHead = http.headers

                for key,value in UrlHead.items():

                    url = re.findall('^https*://.*',str(value))

                    if url:

                        print("[+] 源地址: %10s --> 访问URL: %-80s"%(src, url[0]))

        except Exception:

            pass

    return set(Url)

# 动态保存pcap文件(每1024字节保存一次pcap文件),并读取出其中的网址解析出来

def write_cap(pkt):

    global pkts

    global count

    pkts.append(pkt)

    count += 1

    if count == 1024:

        wrpcap("data.pcap",pkts)

        fp = open("./data.pcap","rb")

        pcap = dpkt.pcap.Reader(fp)

        FindPcapURL(pcap)

        fp.close()

        pkts,count = [],0

if __name__ == "__main__":

    fp = open("d://lyshark.pcap","rb")

    pcap = dpkt.pcap.Reader(fp)

    GetDpkt(pcap)

运行上述代码,同样可以输出这些IP信息,如下图所示;

本文作者: 王瑞

本文链接: https://www.lyshark.com/post/29b6bdae.html

版权声明: 本博客所有文章除特别声明外,均采用 BY-NC-SA 许可协议。转载请注明出处!

21.3 Python 使用DPKT分析数据包的更多相关文章

  1. 使用winpcap多线程抓包,以及简单的分析数据包

    刚开始使用winpcap数据包的时候,我在抓包的时候使用了 pcap_loop(adhandle, 0, packet_handler, NULL); 这个回调函数进行抓包.同时在回调函数中分析IP地 ...

  2. Wireshark数据抓包教程之认识捕获分析数据包

    Wireshark数据抓包教程之认识捕获分析数据包 认识Wireshark捕获数据包 当我们对Wireshark主窗口各部分作用了解了,学会捕获数据了,接下来就该去认识这些捕获的数据包了.Wiresh ...

  3. ARPSpoofing教程(四) - 捕获并分析数据包

    本程序的主要目标是展示如何解析所捕获的数据包的协议首部. 这个程序可以称为UDPdump,打印一些网络上传输的UDP数据的信息. 1: #include"pcap.h" 2: ty ...

  4. #WEB安全基础 : HTTP协议 | 0x7 学会使用wireshark分析数据包

    wireshark是开源,免费,跨平台的抓包分析工具 我们可以通过wireshark学习HTTP报文和进行抓包分析,在CTF中的流量分析需要用到抓包 1.下载和安装 这是wireshark的官网 ht ...

  5. python+pcap+dpkt 抓包小实例

    #!/usr/bin/env python # -*- coding: utf-8 -*- """ 网络数据包捕获与分析程序 """ imp ...

  6. python+pcap+dpkt抓包小实例

    通过pcap与dpkt抓包解包示例: #!/usr/bin/env python # -*- coding: utf-8 -*- """ 网络数据包捕获与分析程序 &qu ...

  7. snmp数据包分析

    今天看了一下snmp数据包的报文格式,用wireshark抓了两个数据包来分析. 先说说snmp get-request的书报包格式吧,get-next-request,get-response,se ...

  8. python数据包之利器scapy用法!

    scapy介绍:  在python中可以通过scapy这个库轻松实现构造数据包.发送数据包.分析数据包,为网络编程之利器! scapy安装: pip install scapy   ======> ...

  9. 可视化数据包分析工具-CapAnalysis

    可视化数据包分析工具-CapAnalysis 我们知道,Xplico是一个从pcap文件中解析出IP流量数据的工具,本文介绍又一款实用工具-CapAnalysis(可视化数据包分析工具),将比Xpli ...

  10. 基于TILE-GX实现快速数据包处理框架-netlib实现分析【转】

    最近在研究suricata源码,在匹配模式的时候,有tilegx mpipe mode,转载下文,了解一下. 原文地址:http://blog.csdn.net/lhl_blog/article/de ...

随机推荐

  1. 行行AI人才直播第6期:当AIGC时代降临,当代青年如何把握新时代机遇

    AIGC时代的到来,给我们带来了无限的想象空间和创造力.AIGC不仅可以提高内容生产的效率和质量,还可以创造出人类无法想象的新颖和有价值的内容,为数字文化产业.产业互联网.社会价值等领域带来变革性的影 ...

  2. MySQL数据库的集群方案

    读写分离结构(主从) 读多写少,也就是对数据库读取数据的压力比较大. 其中一个是主库,负责写入数据,成为写库:其他都是从库,负责读取数据,成为读库. 对我们的要求: 读库和写库的数据一致: 写数据必须 ...

  3. matlab 整数提升为正整数幂

    matlab 整数提升为正整数幂 在使用matlab 的gui界面绘制时报的错误, 是因为之前数据有非double类型的数据,但是有的数据看起来确实是double类型的,但是程序还是报错跑不下去 解决 ...

  4. 2021-7-12 VUE的过滤器使用

    过滤器实例:转换首字母大写 <!DOCTYPE html> <html> <head> <title> </title> </head ...

  5. 【hack】浅浅说说自己构造hack的一些逻辑~

    怎么说呢,相信很多考过竞赛的同学都会在平时的练习/考试中遭遇过100分但没有AC的情况,结果一看评测结果:subtask的数据点没过! 这时候就是遇到hack数据了,如果被这类数据卡住,说明你的代码可 ...

  6. python教程 入门学习笔记 第3天 编程基础常识 代码注释 变量与常量

    编程基础常识 一.注释 1.对代码的说明与解释,它不会被编译执行,也不会显示在编译结果中 2.注释分为:单行注释和多行注释 3.用#号开始,例如:#这是我的第一个python程序 4.注释可以写在单独 ...

  7. 使用 Habana Gaudi2 加速视觉语言模型 BridgeTower

    在对最先进的视觉语言模型 BridgeTower 进行微调时,使用 Optimum Habana v1.6, Habana Gaudi2 可以达到 近 3 倍于 A100 的速度.硬件加速的数据加载以 ...

  8. 快速掌握Vue3:速成Vue3前端开发看这篇就够啦

    一.Vue基本概念 1.1-Vue3的优点 Vue3支持Vue2额大多数特性. 更好的支持TypeScript. 打包大小减少41%. 初次渲染快55%,更新渲染快133%. 内存减少54%. 使用p ...

  9. 交换分区swap的创建与管理

    前言 swap分区是linux系统中一块特殊的硬盘空间,当实际内存不够用的时候,系统会按照一定的算法将部分不用的数据放在swap分区中,从而为当前运行的程序腾出足够的内存空间.好处在于避免内存资源不足 ...

  10. TRL 正式推出,来训练你的首个 RLHF 模型吧!

    我们正式向大家介绍 TRL--Transformer Reinforcement Learning.这是一个超全面的全栈库,包含了一整套工具用于使用强化学习 (Reinforcement Learni ...