pcap文件生成metadata——使用tshark解析tcpdump的pcap包
pcap文件生成metadata
- #!/usr/bin/env python
- # -*- coding: utf-8 -*-
- import os
- import time, datetime
- import struct
- in_path = "/home/bonelee/dns_tunnel_tool/iodine_when_idle.pcap"
- tmp_dir = "/tmp"
- out_path = "/tmp/out_metadata.txt"
- tshark_path = "/usr/bin/tshark"
- os.system(tshark_path + " -T fields -E separator=\"^\" "
- "-e data ""-e data "
- "-e ip.src " # 3=sourceIP
- "-e ip.dst " # 4=destIP
- "-e udp.srcport " # 5=sourcePort
- "-e udp.dstport " # 6=destPort
- "-e ip.proto " # 7=protocol
- "-e data ""-e data ""-e data ""-e data " # 8-11
- "-e frame.time_epoch " # flowStartSeconds
- # 带插入
- "-e data ""-e data ""-e data ""-e data ""-e data ""-e data ""-e data ""-e data ""-e data ""-e data ""-e data ""-e data ""-e data ""-e data ""-e data ""-e data ""-e data ""-e data ""-e data ""-e data ""-e data ""-e data ""-e data ""-e data ""-e data ""-e data ""-e data ""-e data ""-e data ""-e data ""-e data ""-e data ""-e data ""-e data ""-e data ""-e data ""-e data ""-e data ""-e data ""-e data "
- "-e dns.flags.rcode " # 54 = DNSReplyCode
- "-e dns.qry.name " # 55 = DNSQueryName
- "-e dns.qry.type " # 56 = DNSRequestRRType
- "-e dns.qry.class " # 57 = DNSRRClass
- "-e dns.time " # 58 = DNSDelay #每个请求包和响应包的时间间隔,换算
- "-e dns.resp.ttl " # 59 = DNSReplyTTL
- "-e ip.addr " # 60 = DNSReplyIPv4
- "-e ipv6.addr " # 61 = DNSReplyIPv6
- "-e dns.resp.type " # 62 = DNSReplyRRType
- "-e data ""-e data ""-e data ""-e data ""-e data ""-e data ""-e data ""-e data ""-e data ""-e data ""-e data ""-e data ""-e data ""-e data "
- "-e dns.resp.name " # 77 = DNSReplyName
- "-e data ""-e data ""-e data "
- # 待插payload
- "-e data ""-e data ""-e data ""-e data ""-e data ""-e data "
- "-e dns.length " # 88 = DNSRequestLength
- "-e data " # 89=DNSRequestErrLength
- "-e dns.resp.len " # 90 = DNSReplyLength
- "-e data " # 91=DNSReplyErrLength
- "-e data ""-e data ""-e data ""-e data ""-e data ""-e data ""-e data ""-e data ""-e data ""-e data "
- "-Y dns -r %s >%s/tsharkResult.txt" % (in_path, tmp_dir))
- #读取pcap文件,解析相应的信息,为了在记事本中显示的方便。
- payloadResultwithBlank = "%s/payloadResultwithBlank.txt" % tmp_dir
- fpcap = open(in_path, 'rb+')
- ftxt = open(payloadResultwithBlank,'w')
- string_data = fpcap.read()
- #pcap文件包头解析
- pcap_header = {}
- pcap_header['magic_number'] = string_data[0:4]
- pcap_header['version_major'] = string_data[4:6]
- pcap_header['version_minor'] = string_data[6:8]
- pcap_header['thiszone'] = string_data[8:12]
- pcap_header['sigfigs'] = string_data[12:16]
- pcap_header['snaplen'] = string_data[16:20]
- pcap_header['linktype'] = string_data[20:24]
- step = 0
- packet_num = 0
- packet_data = []
- pcap_packet_header = {}
- i =24
- while(i<len(string_data)):
- # 数据包头各个字段
- pcap_packet_header['GMTtime'] = string_data[i:i+4]
- pcap_packet_header['MicroTime'] = string_data[i+4:i+8]
- pcap_packet_header['caplen'] = string_data[i+8:i+12]
- pcap_packet_header['len'] = string_data[i+12:i+16]
- #求出此包的包长len
- packet_len = struct.unpack('I',pcap_packet_header['len'])[0]
- #写入此包数据
- packet_data.append(string_data[i+58:i+16+packet_len])
- i = i+ packet_len+16
- packet_num+=1
- # 把pacp文件里的数据包信息写入result.txt
- for i in range(packet_num):
- ftxt.write(''.join(x.encode('hex') for x in packet_data[i]) + '\n')
- ftxt.close()
- fpcap.close()
- infp = open(payloadResultwithBlank, "r")
- payloadResultOver = "%s/payloadResultOver.txt" % tmp_dir
- outfp = open(payloadResultOver, "w")
- lines = infp.readlines()
- for li in lines:
- if li.split():
- outfp.writelines(li)
- infp.close()
- outfp.close()
- def copyTimeMetadata(string):
- string = string.split('^')
- string.insert(11,string[11])
- return string
- payloadFile = open("%s/payloadResultOver.txt" % tmp_dir)
- tsharkFile = open("%s/tsharkResult.txt" % tmp_dir)
- tsharkData = []
- payload = []
- meteData = []
- for line in tsharkFile:
- line = line.replace("\n", "")
- line = copyTimeMetadata(line)
- tsharkData.append(line)
- for line in payloadFile:
- line = line.replace("\n","")
- payload.append(line)
- count1 = len(payload)
- for i in range(0,count1):
- tsharkData[i].insert(80,payload[i])
- if (tsharkData[i][76]=="<Root>"):
- tsharkData[i][76]=tsharkData[i][54]
- meteDataWithPayload = open("%s/meteDataWithPayload.txt" % tmp_dir,'w')
- for line in tsharkData:
- meteDataWithPayload.write("^".join(line)+"\n")
- finallyMetedata = []
- dataListFromQuery = []
- dataListFromRespon = []
- QueriesName_map = {}
- DNSQueryName = 55 -1
- destPort = 6 -1
- DNSDelay = 0
- with open("%s/meteDataWithPayload.txt" % tmp_dir) as f:
- lines = f.readlines()
- for index,line in enumerate(lines):
- line = line.replace("\n","")
- dataFromQuery = line.split("^")
- if dataFromQuery[destPort] == "": # 此时是请求报文,合并到请求报文中
- dataListFromQuery.append(dataFromQuery) #dataListFromQuery列表保存的全是请求字段
- QueriesName = dataFromQuery[DNSQueryName]
- QueriesName_map[QueriesName] = index
- count = len(QueriesName_map) #计算总共多少条请求报文
- for line in lines:
- dataFromRespon = line.split("^")
- if dataFromRespon[destPort] != "":
- NAME = dataFromRespon[DNSQueryName] #响应报文中的域名
- if (NAME in QueriesName_map):
- for i in range(0, count):
- if dataListFromQuery[i][DNSQueryName] == NAME:
- dataListFromQuery[i][12] = dataFromRespon[12]
- dataListFromQuery[i][53] = dataFromRespon[53]
- dataListFromQuery[i][57] = dataFromRespon[57]
- dataListFromQuery[i][58] = dataFromRespon[58]
- dataListFromQuery[i][89] = dataFromRespon[89]
- DNSDelay = (float(dataListFromQuery[i][12])-float(dataListFromQuery[i][11]))*1000000
- dataListFromQuery[i][57] = str(DNSDelay)
- else:
- print "warning: The response message could not find the requested message", line
- meteDataFile = open(out_path,'w')
- for line in dataListFromQuery:
- if line[53]!="":
- line[59] = line[59].replace(",",";")
- meteDataFile.write("^".join(line) + "\n")
- meteDataFile.close()
示意结果:
- ^^10.0.2.15^223.5.5.5^60088^53^17^^^^^1512356312.819122000^1512356312.860855000^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^0^daisy.ubuntu.com^1^0x00000001^41733.0265045^1357^10.0.2.15;223.5.5.5^^^^^^^^^^^^^^^^^^^^^4b3601000001000000000000056461697379067562756e747503636f6d0000010001^^^^^^^^^49^^^^^^^^^^^
- ^^10.0.2.15^223.5.5.5^60088^53^17^^^^^1512356312.819318000^1512356312.860855000^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^0^daisy.ubuntu.com^28^0x00000001^41537.0464325^1357^10.0.2.15;223.5.5.5^^^^^^^^^^^^^^^^^^^^^a82b01000001000000000000056461697379067562756e747503636f6d00001c0001^^^^^^^^^49^^^^^^^^^^^
pcap文件生成metadata——使用tshark解析tcpdump的pcap包的更多相关文章
- Android first---xml文件生成与解析
一.使用append进行xml生成 Message类属性:private String body; private String date; private String a ...
- 自主创建tcpdump/wireshark pcap文件
pcap文件格式是bpf保存原始数据包的格式,很多软件都在使用,比如tcpdump.wireshark等等,了解pcap格式可以加深对原始数据包的了解,自己也可以手工构造任意的数据包进行测试. p ...
- 构建tcpdump/wireshark pcap文件
pcap文件格式是bpf保存原始数据包的格式,很多软件都在使用,比如tcpdump.wireshark等等,了解pcap格式可以加深对原始数据包的了解,自己也可以手工构造任意的数据包进行测试. p ...
- NodeJs之word文件生成与解析
NodeJs之word文件生成与解析 一,介绍与需求 1.1,介绍 1,officegen模块可以为Microsoft Office 2007及更高版本生成Office Open XML文件.此模块不 ...
- python dpkt 解析 pcap 文件
dpkt Tutorial #2: Parsing a PCAP File 原文链接:https://jon.oberheide.org/blog/2008/10/15/dpkt-tutorial-2 ...
- 解析Markdown文件生成React组件文档
前言 最近做的项目使用了微前端框架single-spa. 对于这类微前端框架而言,通常有个utility应用,也就是公共应用,里面是各个子应用之间可以共用的一些公共组件或者方法. 对于一个团队而言,项 ...
- Linux使用tcpdump命令抓包保存pcap文件wireshark分析
[root@ok Desktop]# yum search tcpdump Loaded plugins: fastestmirror, refresh-packagekit, security Lo ...
- pcapng文件的python解析实例以及抓包补遗
为了弥补pcap文件的缺陷,让抓包文件可以容纳更多的信息,pcapng格式应运而生.关于它的介绍详见<PCAP Next Generation Dump File Format> 当前的w ...
- text2pcap: 将hex转储文本转换为Wireshark可打开的pcap文件
简介 Text2pcap是一个读取ASCII hex转储的程序,它将描述的数据写入pcap或pcapng文件.text2pcap可以读取包含多个数据包的hexdumps,并构建多个数据包的捕获文件.t ...
随机推荐
- Pinpoint 监控
####Hbase数据################ 参考: 然而没有卵用: https://blog.csdn.net/iamlihongwei/article/details/52882749? ...
- [ Linux ] [ OS ] [ memory ] Linux 如何查看系統硬體的記憶體(RAM)資訊
cat /proc/meminfo https://blog.longwin.com.tw/2013/05/linux-ram-memory-info-2013/
- (转载) IaaS, PaaS, Saas
如果你是一个网站站长,想要建立一个网站.不采用云服务,你所需要的投入大概是:买服务器,安装服务器软件,编写网站程序. 现在你追随潮流,采用流行的云计算,如果你采用 IaaS 服务,那么意味着你就不用自 ...
- AI:**消灭程序员需要一百年吗?
这篇博文真的很长,不过挺有意思.关于智能机器人的发展前景还是很广的,因为每一步都异常艰难,而什么时候可以终止还无法预料,所以程序员没办法失业啊! 转自于图灵社区:http://www.ituring. ...
- 服务端Linux机器日志查看命令
常用查看命令 ps -ef | grep java 查看当前机器运行程序: tail -100f /... 查看日志,实时的 less /- 按页查看日志,空格翻页,q退出 cat /.. | gre ...
- vc++创建Win32 Application窗体过程
#include<windows.h>#include<stdio.h>LRESULT CALLBACK WinSunProc( HWND hwnd, UINT uMsg, W ...
- C#学习 第十节
操作符(operator) 1.操作符的概览 从上到下优先级依次减弱: 2.操作符的本质 操作符的本质是函数的简记法: 计算机的操作符不能脱离与它关联的数据类型: 3.操作符的优先级 可以使用括号 4 ...
- python之子类调用父类的两种方式
第一种方式 直接在子类中调用父类名: Vehicle.__init__(self,name,speed,load,power)#调用父类的实例 Vehicle.run(self) #调用父类的方法 # ...
- WEBGL学习【十五】利用WEBGL实现三维场景的一般思路总结
实现三维场景载入操作的实现步骤: 主要知识点:着色器,纹理贴图,文件载入 实现思路: 获取canvas,初始化WEBGL上下文信息. 主要是实现WEBGL上下文的获取,设置视的大小,此时gl存储了WE ...
- 洛谷P1739 表达式括号匹配
题目描述 假设一个表达式有英文字母(小写).运算符(+,-,*,/)和左右小(圆)括号构成,以"@"作为表达式的结束符.请编写一个程序检查表达式中的左右圆括号是否匹配,若匹配,则返 ...