Python使用DPKT实现分析数据包
更新时间:2023年10月22日 09:38:17 作者:lyshark
dpkt项目是一个Python模块,主要用于对网络数据包进行解析和操作,z这篇文章主要为大家介绍了python如何利用DPKT实现分析数据包,有需要的可以参考下
dpkt项目是一个Python模块,主要用于对网络数据包进行解析和操作。它可以处理多种协议,例如TCP、UDP、IP等,并提供了一些常用的网络操作功能,例如计算校验和、解析DNS数据包等。由于其简单易用的特性,dpkt被广泛应用于网络安全领域,例如流量分析、漏洞利用、入侵检测等。使用该库可以快速解析通过各类抓包工具抓到的数据包,从而提取分析包内的参数。
安装DPKT工具:pip install dpkt
在分析数据包之前我们需要抓取特定数据包并保存为*.pcap格式,通常情况下这种数据包格式可通过WireShark等工具抓取到,当然也可以使用上一篇提到的Scapy库实现,该库中存在一个sniff函数,该函数可以实现网络抓包功能,如下一个演示案例我们分别通过sniff(count=2)函数抓取两个数据包并使用wrpcap()函数将其保存到文件内,当需要分析时可通过调用rdpcap()函数打开数据包即可实现分析。
>>> from scapy.all import *
>>>
>>> packets = sniff(count=2) # 动态抓取2个数据包
>>>
>>> wrpcap("d://lyshark.pcap",packets) # 保存数据包
>>> pcap_packets = rdpcap("d://lyshark.pcap") # 读取数据包
>>>
>>> pcap_packets
<lyshark.pcap: TCP:2 UDP:0 ICMP:0 Other:0>
>>>
>>> pcap_packets.show()
0000 Ether / IP / TCP 192.168.1.101:63995 > 172.217.24.10:https S
0001 Ether / IP / TCP 192.168.1.101:63907 > 103.235.46.191:https A / Raw
>>>
>>> pcap_packets.summary()
Ether / IP / TCP 192.168.1.101:63995 > 172.217.24.10:https S
Ether / IP / TCP 192.168.1.101:63907 > 103.235.46.191:https A / Raw
>>>
>>> pcap_packets[0].dst
'FF:2d:1e:0f:1e:a1'
>>>
>>> pcap_packets[0].src
'a4:7e:33:ee:cc:b3'
>>>
# 如下分别代表: 链路层 [Ethernet]、网络层[IP]、传输层[TCP/UDP]、应用层[RAW]
>>> pcap_packets[0].show()
>>>
# 抓包后直接输出
>>> sniff(prn=lambda x: x.show(), count=1)
通过上方的抓包流程读者即可实现简单的抓包功能,当然sniff函数参数众多我们完全可以在抓包时增加不同的抓包条件,同时该函数也支持回调函数,当由新的请求被触发时则自动执行回调函数,如下则是使用Scapy抓包的完整案例,该案例展示了抓取60秒数据包,并将其保存至d://lyshark.pcap目录。
from scapy.all import *
import scapy.all as scapy
# 数据包回调函数
def packet_callback(packet):
if packet[TCP].payload:
m_packet = str(packet[TCP].payload)
print("主机地址: {} ---> 数据包内容: {}".format(packet[IP].dst,packet[TCP].payload))
if __name__ == "__main__":
# 抓取80端口的数据包并输出到屏幕
# sniff(filter="tcp port 80", prn=packet_callback, store=0)
# 抓取 过滤出tcp协议 抓取1分钟后保存到文件中
package=sniff(filter="tcp", timeout=60, prn=packet_callback, store=1)
wrpcap("d://lyshark.pcap", package)
运行上方抓包程序,读者可看到如下图所示的输出结果,等待60秒后即可看到d://lyshark.pcap文件。
当读者抓取到这些数据包之后,下一步则是解析这些数据包,解析的方法有许多可以使用DPKT解析,也可以使用scapy自带的工具解析,本章首先介绍如何使用Scapy工具实现解析数据包内的HTTP请求,并输出的功能,如下是完整的代码实现;
from scapy.all import *
import scapy.all as scapy
# 解析获取到的数据包
def get_http_pcap(pcap_path):
pcap_infos = list()
packets = scapy.rdpcap(pcap_path)
for p in packets:
if p.haslayer("IP"):
src_ip = p["IP"].src
dst_ip = p["IP"].dst
if p.haslayer("TCP"):
raw_http = p["TCP"].payload.original
sport = p["TCP"].sport
dport = p["TCP"].dport
if p.haslayer("HTTPRequest"):
host = p["HTTPRequest"].Host
uri = p["HTTPRequest"].Path
http_fields = p["HTTPRequest"].fields
# print("主机地址: {} --> URI: {}".format(host,uri))
print("原IP地址: {}:{} --> 目标IP地址: {}:{}".format(src_ip,sport,dst_ip,dport))
if __name__ == "__main__":
get_http_pcap("d://lyshark.pcap")
读者可自行运行上述代码,并传入刚才抓取到的lyshark.pcap数据包,此时则可解析出当前数据包中所有HTTP访问数据,如下图所示;
对于数据包的解包功能,Dpkt工具包也可以很好的完成,对于使用Dpkt解包而言,首先需要通过open()打开数据包,接着调用dpkt.pcap.Reader(fp)将文件内的字节转化为PCAP格式,最后调用自定义函数GetDpkt根据字段进行解析即可。
import dpkt
import socket
def GetDpkt(pcap):
for timestamp,packet in pcap:
try:
eth = dpkt.ethernet.Ethernet(packet)
ip = eth.data
tcp = ip.data
src = socket.inet_ntoa(ip.src)
dst = socket.inet_ntoa(ip.dst)
sport = tcp.sport
dport = tcp.dport
print("[+] 源地址: {}:{} --> 目标地址:{}:{}".format(src,sport,dst,dport))
except Exception:
pass
# 检测主机是否被DDOS攻击了
def FindDDosAttack(pcap):
pktCount = {}
for timestamp,packet in pcap:
try:
eth = dpkt.ethernet.Ethernet(packet)
ip = eth.data
tcp = ip.data
src = socket.inet_ntoa(ip.src)
dst = socket.inet_ntoa(ip.dst)
sport = tcp.sport
# 累计判断各个src地址对目标地址80端口访问次数
if dport == 80:
stream = src + ":" + dst
if pktCount.has_key(stream):
pktCount[stream] = pktCount[stream] + 1
else:
pktCount[stream] = 1
except Exception:
pass
for stream in pktCount:
pktSent = pktCount[stream]
# 如果超过设置的检测阈值500,则判断为DDOS攻击行为
if pktSent > 500:
src = stream.split(":")[0]
dst = stream.split(":")[1]
print("[+] 源地址: {} 攻击: {} 流量: {} pkts.".format(src,dst,str(pktSent)))
# FindPcapURL 监控提取数据包中的所有URL
def FindPcapURL(pcap):
Url = []
for timestamp,packet in pcap:
try:
eth = dpkt.ethernet.Ethernet(packet)
ip = eth.data
src = socket.inet_ntoa(ip.src)
tcp = ip.data
http = dpkt.http.Request(tcp.data)
if(http.method == "GET"):
UrlHead = http.headers
for key,value in UrlHead.items():
url = re.findall('^https*://.*',str(value))
if url:
print("[+] 源地址: %10s --> 访问URL: %-80s"%(src, url[0]))
except Exception:
pass
return set(Url)
# 动态保存pcap文件(每1024字节保存一次pcap文件),并读取出其中的网址解析出来
def write_cap(pkt):
global pkts
global count
pkts.append(pkt)
count += 1
if count == 1024:
wrpcap("data.pcap",pkts)
fp = open("./data.pcap","rb")
pcap = dpkt.pcap.Reader(fp)
FindPcapURL(pcap)
fp.close()
pkts,count = [],0
if __name__ == "__main__":
fp = open("d://lyshark.pcap","rb")
pcap = dpkt.pcap.Reader(fp)
GetDpkt(pcap)
运行上述代码,同样可以输出这些IP信息,如下图所示;
到此这篇关于Python使用DPKT实现分析数据包 的文章就介绍到这了,更多相关Python DPKT内容请搜索脚本之家以前的文章或继续浏览下面的相关文章希望大家以后多多支持脚本之家!
相关文章
本文主要是总结yaml常用的一些数据形式,对于我们正常的项目使用,已经足够用了,接下来通过本文给大家分享python 中yaml文件用法,需要的朋友参考下吧2021-07-07
这篇文章主要介绍了Pytorch实验常用代码段汇总,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下2020-11-11
这篇文章主要介绍了用Python编写一个高效的端口扫描器的方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧2018-12-12
这篇文章主要给大家介绍了关于如何将.ipynb文件转换成.py文件的详细步骤,文中通过图文介绍的非常详细,大家基本一看就会,需要的朋友可以参考下2023-07-07
Python是一种功能强大的编程语言,支持多种数据类型和运算符,它强调代码的可读性和简洁性,变量在Python中是动态类型的,不需要显式声明类型,这篇文章主要介绍了python变量类型、输入、输出运算符的相关资料,需要的朋友可以参考下2024-11-11
手机使用python操作图片文件(pydroid3)过程详解
这篇文章主要介绍了手机使用python操作图片文件(pydroid3)过程详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下2019-09-09
本文介绍了Python对于线程的支持,包括学会多线程编程需要掌握的基础以及Python两个线程标准库的完整介绍及使用示例2017-01-01
这篇文章主要介绍了python小技巧——如何将变量保存在本地及读取,帮助大家更好的理解和使用Java,感兴趣的朋友可以了解下2020-11-11
python数据库操作mysql:pymysql、sqlalchemy常见用法详解
这篇文章主要介绍了python数据库操作mysql:pymysql、sqlalchemy常见用法,结合实例形式分析了Python mysql操作库pymysql、sqlalchemy基本使用技巧与操作注意事项,需要的朋友可以参考下2020-03-03
列表是一种非常灵活的数据结构,它可以包含多种类型的元素,本文将介绍如何将一组列表保存到txt文件中,并提供相应的读取方法,希望对大家有所帮助2024-04-04
最新评论