快盘下载:好资源、好软件、快快下载吧!

快盘排行|快盘最新

当前位置:首页软件教程电脑软件教程 → 恶意加密流量- pcap包解析

恶意加密流量- pcap包解析

时间:2022-10-06 14:45:08人气:作者:快盘下载我要评论

文章目录

python解析pyshark解析pcap什么是pcap?解析pcap包

python解析pyshark

$ brew install shark
$ pip install pyshark
import pyshark

def read_pcaps_shark(pcap_path):
    '''
    使用shark来读取pcap包
    '''
    pcap = pyshark.FileCapture(pcap_path)
    # print(pcap[0])
    for pkt in pcap:
        print(pkt.captured_length)
        print(pkt.highest_layer)
        print(pkt.length)
        print(pkt.number)
        print(pkt.sniff_timestamp)
        print(pkt.eth)
        print(pkt.ip)
        print(pkt.frame_info)
        print(pkt.sniff_time)
        print(pkt.tcp)
        break

if __name__ == "__main__":
    pcap_path = "../datasets/USTC-TFC2016/Benign/Weibo/Weibo-1.pcap"
    read_pcaps_shark(pcap_path)
    # read_pcap_dpkt(pcap_path)

解析pcap

什么是pcap?

pcap是一种数据流格式,wireshark软件可以直接把网络数据流变成这种格式。

恶意加密流量- pcap包解析

整个包只有一个Global Header定义了本数据包的读取规则/最大存长度限制等内容 Magic:4Byte:标记文件开始,并用来识别文件自己和字节顺序。0xa1b2c3d4用来表示按照原来的顺序读取,0xd4c3b2a1表示下面的字节都要交换顺序读取。考虑到计算机内存的存储结构,一般会采用0xd4c3b2a1,即所有字节都需要交换顺序读取。 Major:2Byte: 当前文件主要的版本号,一般为 0x0200【实际上因为需要交换读取顺序,所以计算机看到的应该是 0x0002】 Minor:2Byte: 当前文件次要的版本号,一般为 0x0400【计算机看到的应该是 0x0004】 ThisZone:4Byte:当地的标准时间,如果用的是GMT则全零,一般都直接写 0000 0000 SigFigs:4Byte:时间戳的精度,设置为 全零 即可 SnapLen:4Byte:最大的存储长度,如果想把整个包抓下来,设置为 ffff 0000,但一般来说 ff7f 0000就足够了【计算机看到的应该是 0000 ff7f 】 LinkType:4Byte:链路类型,常用类型有以下几种,其他的,需要用的时候再查就行了。 0 BSD loopback devices, except for later OpenBSD1 Ethernet, and Linux loopback devices6 802.5 Token Ring7 ARCnet8 SLIP9 PPP10 FDDI100 LLC/SNAP-encapsulated ATM101 “raw IP”, with no link102 BSD/OS SLIP103 BSD/OS PPP104 Cisco HDLC105 802.11108 later OpenBSD loopback devices (with the AF_value in network byte order)113 special Linux “cooked” capture114 LocalTalkPacket Header(共 16 Byte): Packet Header可以有多个,每个Packet Header后面会跟着一串Packet Data,Packet Header定义了Packet Data的长度、时间戳等信息

Timestamp:被捕获时间的高位,单位是secondsTimestamp:被捕获时间的低位,单位是microsecondsCaplen:当前数据区的长度,即抓取到的数据帧长度,不包括Packet Header本身的长度,单位是 Byte ,由此可以得到下一个数据帧的位置。Len:离线数据长度:网络中实际数据帧的长度,一般不大于caplen,多数情况下和Caplen数值相等。Packet Data(共 Caplen Byte): 在包头之后,就是数据包的数据了,数据长度就是Caplen个Byte,在这之后就是一个新的Packet Header,定义一个新的Packet Data属性,再接一个新的Packet Data,如此循环。

解析pcap包

ROHC库的测试文件里找出来的其中一个数据流文件
d4c3 b2a1 0200 0400 0000 0000 0000 0000
ff7f 0000 0100 0000                              # Global Header

e5da c850 fbdc 0800 2a00 0000 2a00 0000  # Packet Header
ffff ffff ffff 0000 0000 0000 0800 4500   
001c 0001 0000 4032 7cad 7f00 0001 7f00 
0001 0102 0304 0000 0001                      # Packet Data

eada c850 6d02 0100 2a00 0000 2a00 0000  # Packet Header
ffff ffff ffff 0000 0000 0000 0800 4500 
001c 0002 0000 4032 7cac 7f00 0001 7f00 
0001 0102 0304 0000 0002                      # Packet Data

eeda c850 9824 0800 2a00 0000 2a00 0000  # Packet Header
ffff ffff ffff 0000 0000 0000 0800 4500 
001c 0003 0000 4032 7cab 7f00 0001 7f00 
0001 0102 0304 0000 0003                      # Packet Data

f3da c850 250c 0100 2a00 0000 2a00 0000  # Packet Header
ffff ffff ffff 0000 0000 0000 0800 4500 
001c 0004 0000 4032 7caa 7f00 0001 7f00 
0001 0102 0304 0000 0004                     # Packet Data


2bdc c850 7952 0500 2a00 0000 2a00 0000 # Packet Header
ffff ffff ffff 0000 0000 0000 0800 4500
001c 2710 0000 4032 559e 7f00 0001 7f00
0001 0102 0304 0000 2710                      # Packet Data
第二段
e5da c850 fbdc 0800 2a00 0000 2a00 0000 
ffff ffff ffff 0000 0000 0000 0800 4500 
001c 0001 0000 4032 7cad 7f00 0001 7f00 
0001 0102 0304 0000 0001 

e5da c850 就是时间戳的高位 fbdc 0800 就是时间戳的低位 2a00 0000 就是数据包的大小,十六进制,转换成十进制,就是42 Byte 2a00 0000 就是抓到的包的大小 ffff ffff ffff 0000 0000 0000 0800 4500 001c 0001 0000 4032 7cad 7f00 0001 7f00 0001 0102 0304 0000 0001 就是数据包,长度一共是 42 Byte

相关文章

  • Linux配置HTTP服务

    Linux配置HTTP服务,配置Linux初级httpd服务...
  • Server SAN_Windows存储卷设备

    Server SAN_Windows存储卷设备,目前,实现云环境中数据的高效存储是云计算提供服务的基本要求。云计算和云存储已经成为提供信息和在线功能的首选方法。...

网友评论

快盘下载暂未开通留言功能。

关于我们| 广告联络| 联系我们| 网站帮助| 免责声明| 软件发布

Copyright 2019-2029 【快快下载吧】 版权所有 快快下载吧 | 豫ICP备10006759号公安备案:41010502004165

声明: 快快下载吧上的所有软件和资料来源于互联网,仅供学习和研究使用,请测试后自行销毁,如有侵犯你版权的,请来信指出,本站将立即改正。