python - 使用 scapy 从 pcap 文件中提取有效负载中的特定字节-6ren

python - 使用 scapy 从 pcap 文件中提取有效负载中的特定字节

转载作者：行者123 更新时间：2023-12-04 02:38:51

25

4

我正在尝试从 pcap 文件中的每个数据包中提取特定字节。所有数据包都是 ICMP。

在数据部分，有一个字节改变每个数据包。每个人都处于相同的位置。我想提取那个字节。

使用 scapy:

pkts = rdpcap('test.pcap')
pl = PacketList([p for p in pkts])

bytes(pl[12].payload)

返回以下内容:

b'E\x00\x00T]\xa7\x00\x00***J***\x01!A\xc0\xa88\x01\xc0\xa88o\x08\x004\xe9\xbf2\x00\x00^"\x87\xbe\x00\x0c2\xf4\x08\t\n\x0b\x0c\r\x0e\x0f\x10\x11\x12\x13\x14\x15\x16\x17\x18\x19\x1a\x1b\x1c\x1d\x1e\x1f !"#$%&\'()*+,-./01234567'

我已将要提取的字节包含在三颗星内。但是，如果我打印出每个数据包的字节，我要提取的字节将位于不同的偏移量中。

如果我为每个数据包运行一个 hexdump，如下所示:

hexdump(bytes(pl[12].payload))

我要提取的特定字节总是在同一个位置，但我不知道如何提取它。

如何使用 scapy 从 pcap 中提取特定字节？

在这里遵循这个答案:Get specific bytes in payload from a pcap file

如果我执行相同的命令，它不会做任何有用的事情:

>>> hexdump(pkts[14][2].load[8])
0000  00 00 00 00 00 00 00 00                          ........
>>>

最佳答案

你想要 TTL？

让我们从高层开始，然后向下移动。

Scapy 正在为您提供构造的数据包。如果要包的TTL，调用属性:

>>> plist[182].ttl
64

如果你想获取数据包的特定字节，让我们看一下 hexdump:

>>> hexdump(plist[182])
0000  AA BB CC 66 42 DE AA BB CC 3F 52 A3 08 00 45 00  .a.lM..M.AK...E.
0010  00 5B 58 B9 40 00 40 06 64 96 C0 A8 01 28 AC D9  .[X.@.@.d....(..
...

这些是十六进制的，第一个字段 0000 是偏移量，然后是十六进制的 16 个字节，然后是 ascii。

Offset  Bytes                                            ASCII
======  ===============================================  ================
0000    AA BB CC 66 42 DE AA BB CC 3F 52 A3 08 00 45 00  .a.lM..M.AK...E.

事物从 0 开始，因此第一行的字节地址为 0..15。第二行的偏移量是 16 (16 * 1)。所以字节地址是 16..31。第三行，偏移量为 32 (16 * 2)。所以字节地址是 32..47

您突出显示了第 2 行的第 7 个字节:

Offset Bytes                                            ASCII
       0  1  2  3  4  5  6  7  8  9  10 11 12 13 14 15
====== ===============================================  ================
0010   00 5B 58 B9 40 00 40 06 64 96 C0 A8 01 28 AC D9  .[X.@.@.d....(..

那个地址是:

offset + byte_address.
offset = 16 * 1
byte_address = 6

这给了我们:

16 + 6 = 22

这样，我们现在可以从原始数据包中获取字节地址 22:

>>> b = raw(plist[182])
>>> b[22]
64

请注意，wireshark 数据包编号从 1 开始。python 中的数据包将从 0 开始。所以在我的示例中，数据包 182 对应于 Wireshark 中的数据包 183。

plist[182].payload 为您提供数据包的 IP 部分，因此偏移量将有所不同，因为我们不再查看整个数据包。我们可以使用“.ttl”属性获得相同的值。或者，知道地址是 IP header 中的字节 8:

>>> plist[182].payload.ttl
64
>>> raw(plist[182].payload)[8]
64

关于python - 使用 scapy 从 pcap 文件中提取有效负载中的特定字节，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/60331085/

25

4

0

文章推荐： javascript - 使用 redux-thunk 取消之前的 fetch 请求

文章推荐： C# .Net MysqlConnector ConnectionString 密码问题/问题

文章推荐： matrix - 使用匈牙利算法解决分配问题的次优解

networking - 转换 pcap <-> pcap-ng, pcap-ng 工具/库
关闭。这个问题不符合Stack Overflow guidelines .它目前不接受答案。想改进这个问题？将问题更新为 on-topic对于堆栈溢出。 5年前关闭。 Improve this qu
pcap - 在 pcap 文件中收集数据包长度
大家好，我如何收集 pcap 文件中每个数据包的数据包长度？非常感谢最佳答案我推荐一个很少有人知道的高科技方法:阅读文档。 man pcap 告诉我们实际上有两种不同的长度可用:
pcap - C PCAP 库未知类型错误
我在我的 linux 系统上安装了 pcap 库，但是当包含它时，我得到了错误 /usr/include/pcap/bpf.h:88:1: error: unknown type name ‘u_i
pcap - 过滤特定时间范围的 pcap 转储文件
是否有任何简单的方法可以使用 tshark 为与特定日期时间范围相关的数据包创建 pcap 文件？ , tcpdump或其他命令行工具？ tshark -R与 frame.time看起来很有希望，但我
pcap - 我可以使用PHP在Tcpdump生成的“.pcap”文件中查找http请求和响应吗？
我有Tcpdump生成的“ .pcap”文件。我一直在寻找一种使用PHP读取文件中数据的方法。我尝试了几种可用的方法，但是我唯一能看到的是，有一些数据包带有针对每个数据包的时间戳记。我试图进一步阅读，
pcap - 过滤 pcap 的前十分钟
我有一个很大的 pcap 文件，我想生成一个仅包含前十分钟流量的新 pcap。我可以使用 tcpdump 执行此操作吗？我在网上看到过 editcap ，但如果可能的话我想使用 tcpdump 。最
pcap - 过滤 pcap 的前十分钟
我有一个很大的 pcap 文件，我想生成一个仅包含前十分钟流量的新 pcap。我可以使用 tcpdump 执行此操作吗？我在网上看到过 editcap ，但如果可能的话我想使用 tcpdump 。最
pcap - pcap 中的 ntohs() 到底是做什么的？
我从一个答案中阅读了文档: ntohs 函数采用 TCP/IP 网络字节顺序(AF_INET 或 AF_INET6 地址族)的 16 位数字，并以主机字节顺序返回一个 16 位数字。请举例说明，什么
pcap - 使用 tcpdump 搜索许多 pcap 文件
我有一堆通过 tcpdump 获得的 pcap 文件。我需要在所有文件中搜索特定关键字并记录哪些文件包含这些字符串。有没有办法使用 tcpdump 命令自动搜索这些关键字？最佳答案使用 tshar
c# - PCAP 库功能(编写新的 PCAP 文件)
我卡住了。我使用 PCAP.NET 读取 .PCAP 文件并将数据包写入数据库。现在我可以查询数据库并取回与约束匹配的数据包。我需要一种方法将结果写入新的 .PCAP 文件。问题是，据我所知，生成
linux - 将 NFLOG pcap 转换为以太网 pcap
我需要嗅探特定 Linux 用户 (UID) 的流量。我正在使用 iptables/NFLOG ( http://wiki.wireshark.org/CaptureSetup/NFLOG ) 来做这
pcap - 如何读取 pcap 文件，按 IP 地址和端口过滤，然后将数据写入另一个文件
作为我正在进行的实验室练习的一部分，有人问我；使用 tcpdump 从 tcpdumpep1.pcap 读取数据包并过滤来自 IP 地址 184.107.41.72 和端口 80 的数据包。将这些数
java - 使用 Java 将 pcap-ng 转换为 pcap
有没有办法使用 Java 将 pcap-ng 文件转换为 pcap(不使用 editcap)？我注意到一些 pcap 被读取为 .pcap 格式，但当我查看 Wireshark“摘要”时，它被识别为
pcap - 在哪里可以找到适用于 Diameter 协议(protocol) (WireShark) 的 Pcap 示例？
已结束。此问题不符合 Stack Overflow guidelines .它目前不接受答案。我们不允许提出有关书籍、工具、软件库等方面的建议的问题。您可以编辑问题，以便用事实和引用来回答它。关闭
node.js - 使用 "npm install pcap"安装 pcap 时出错
我正在用nodejs开发一个数据包捕获应用程序。当我发出命令npm install pcap时，出现以下错误: 谁能帮我解决一下吗？谢谢最佳答案谢谢，这个( enter link descrip
java - 如何使用参数为 Pcap.LOOP_INFINITE 的 pcap.loop() 将捕获的数据包打印到 JTextArea 中？
我对JNetPcap很陌生，我仍在寻找它的方法，我正在尝试为我的项目构建一个数据包嗅探器，最近我正在尝试打印输出数据包信息通过附加我正在使用的 pcap.loop() 中的信息到 JTextArea
pcap - 我可以使用 PHP 在 Tcpdump 生成的 '.pcap' 文件中查找 http 请求和响应吗？
我有由 Tcpdump 生成的“.pcap”文件。我一直在寻找一种使用 PHP 读取文件中数据的方法。我已经尝试了几种可用的方法，但我唯一能看到的是有一定数量的数据包，每个数据包都有时间戳。我试图进一
c - Ruby/C/Makefile，-lpcap/#include 中使用的默认 pcap.h 文件是什么
如何确定通过 Makefile 编译/安装的 C 源代码中包含的 pcap.h 文件？具体来说，它是一个通过以下方式安装的 Ruby 库 (pcaprub): ruby extconf.rb &&
tcpdump - "tcpdump -w 1.pcap"有效，但 "tcpdump -C 100 -w 1.pcap"- 权限被拒绝
运行“tcpdump -w 1.pcap”时需要限制文件大小。我尝试使用键“-C”来执行此操作，但是当我添加它时，我收到错误“权限被拒绝”。所以: > sudo tcpdump -w 1.pcap t
pcap - RawCap嗅探器导致空的pcap文件
所以...我正在尝试使用RawCap捕获到本地主机的流量当我运行rawcap时，它会在cmd提示符下报告数据包-但转储文件始终为空。任何想法(我尝试使用admin privs运行) 最佳答案您应

首页

博学

6Ren·AI

商城

python - 使用 scapy 从 pcap 文件中提取有效负载中的特定字节