pcap文件生成metadata

#!/usr/bin/env python

# -*- coding: utf-8 -*-

import os

import time, datetime

import struct

in_path = "/home/bonelee/dns_tunnel_tool/iodine_when_idle.pcap"

tmp_dir = "/tmp"

out_path = "/tmp/out_metadata.txt"

tshark_path = "/usr/bin/tshark"

os.system(tshark_path + " -T fields -E separator=\"^\" "

"-e data ""-e data "

          "-e ip.src "            #  3=sourceIP

          "-e ip.dst "            #  4=destIP

          "-e udp.srcport "       #  5=sourcePort

          "-e udp.dstport "       #  6=destPort

          "-e ip.proto "          #  7=protocol

"-e data ""-e data ""-e data ""-e data " # 8-11

          "-e frame.time_epoch "  #  flowStartSeconds

                                  #  带插入

"-e data ""-e data ""-e data ""-e data ""-e data ""-e data ""-e data ""-e data ""-e data ""-e data ""-e data ""-e data ""-e data ""-e data ""-e data ""-e data ""-e data ""-e data ""-e data ""-e data ""-e data ""-e data ""-e data ""-e data ""-e data ""-e data ""-e data ""-e data ""-e data ""-e data ""-e data ""-e data ""-e data ""-e data ""-e data ""-e data ""-e data ""-e data ""-e data ""-e data "

          "-e dns.flags.rcode "   #  54 = DNSReplyCode

          "-e dns.qry.name "      #  55 = DNSQueryName

          "-e dns.qry.type "      #  56 = DNSRequestRRType

          "-e dns.qry.class "     #  57 = DNSRRClass

          "-e dns.time "          #  58 = DNSDelay   #每个请求包和响应包的时间间隔,换算

          "-e dns.resp.ttl "      #  59 = DNSReplyTTL

          "-e ip.addr "           #  60 = DNSReplyIPv4

          "-e ipv6.addr "         #  61 = DNSReplyIPv6

          "-e dns.resp.type "     #  62 = DNSReplyRRType

"-e data ""-e data ""-e data ""-e data ""-e data ""-e data ""-e data ""-e data ""-e data ""-e data ""-e data ""-e data ""-e data ""-e data "

          "-e dns.resp.name "     #  77 = DNSReplyName

"-e data ""-e data ""-e data "

                                  #  待插payload

          "-e data ""-e data ""-e data ""-e data ""-e data ""-e data "

          "-e dns.length "        #  88 = DNSRequestLength

          "-e data "              #  89=DNSRequestErrLength

          "-e dns.resp.len "      #  90 = DNSReplyLength

          "-e data "              #  91=DNSReplyErrLength

"-e data ""-e data ""-e data ""-e data ""-e data ""-e data ""-e data ""-e data ""-e data ""-e data "

          "-Y dns -r %s  >%s/tsharkResult.txt" % (in_path, tmp_dir))

#读取pcap文件,解析相应的信息,为了在记事本中显示的方便。

payloadResultwithBlank = "%s/payloadResultwithBlank.txt" % tmp_dir

fpcap = open(in_path, 'rb+')

ftxt = open(payloadResultwithBlank,'w')

string_data = fpcap.read()

#pcap文件包头解析

pcap_header = {}

pcap_header['magic_number'] = string_data[0:4]

pcap_header['version_major'] = string_data[4:6]

pcap_header['version_minor'] = string_data[6:8]

pcap_header['thiszone'] = string_data[8:12]

pcap_header['sigfigs'] = string_data[12:16]

pcap_header['snaplen'] = string_data[16:20]

pcap_header['linktype'] = string_data[20:24]

step = 0

packet_num = 0

packet_data = []

pcap_packet_header = {}

i =24

while(i<len(string_data)):

    # 数据包头各个字段

    pcap_packet_header['GMTtime'] = string_data[i:i+4]

    pcap_packet_header['MicroTime'] = string_data[i+4:i+8]

    pcap_packet_header['caplen'] = string_data[i+8:i+12]

    pcap_packet_header['len'] = string_data[i+12:i+16]

    #求出此包的包长len

    packet_len = struct.unpack('I',pcap_packet_header['len'])[0]

    #写入此包数据

    packet_data.append(string_data[i+58:i+16+packet_len])

    i = i+ packet_len+16

    packet_num+=1

# 把pacp文件里的数据包信息写入result.txt

for i in range(packet_num):

    ftxt.write(''.join(x.encode('hex') for x in packet_data[i]) + '\n')

ftxt.close()

fpcap.close()

infp = open(payloadResultwithBlank, "r")

payloadResultOver = "%s/payloadResultOver.txt" % tmp_dir

outfp = open(payloadResultOver, "w")

lines = infp.readlines()

for li in lines:

    if li.split():

        outfp.writelines(li)

infp.close()

outfp.close()

def copyTimeMetadata(string):

    string = string.split('^')

    string.insert(11,string[11])

    return string

payloadFile = open("%s/payloadResultOver.txt" % tmp_dir)

tsharkFile = open("%s/tsharkResult.txt" % tmp_dir)

tsharkData = []

payload = []

meteData = []

for line in tsharkFile:

    line = line.replace("\n", "")

    line = copyTimeMetadata(line)

    tsharkData.append(line)

for line in payloadFile:

    line = line.replace("\n","")

    payload.append(line)

count1 = len(payload)

for i in range(0,count1):

    tsharkData[i].insert(80,payload[i])

    if (tsharkData[i][76]=="<Root>"):

        tsharkData[i][76]=tsharkData[i][54]

meteDataWithPayload = open("%s/meteDataWithPayload.txt" % tmp_dir,'w')

for line in tsharkData:

    meteDataWithPayload.write("^".join(line)+"\n")

finallyMetedata = []

dataListFromQuery = []

dataListFromRespon = []

QueriesName_map = {}

DNSQueryName = 55 -1

destPort = 6 -1

DNSDelay = 0

with open("%s/meteDataWithPayload.txt" % tmp_dir) as f:

    lines = f.readlines()

    for index,line in enumerate(lines):

        line = line.replace("\n","")

        dataFromQuery = line.split("^")

        if dataFromQuery[destPort] == "":             # 此时是请求报文,合并到请求报文中

            dataListFromQuery.append(dataFromQuery)     #dataListFromQuery列表保存的全是请求字段

            QueriesName = dataFromQuery[DNSQueryName]

            QueriesName_map[QueriesName] = index

    count = len(QueriesName_map)                        #计算总共多少条请求报文

    for line in lines:

        dataFromRespon = line.split("^")

        if dataFromRespon[destPort] != "":

            NAME = dataFromRespon[DNSQueryName]         #响应报文中的域名

            if (NAME in QueriesName_map):

                for i in range(0, count):

                    if dataListFromQuery[i][DNSQueryName] == NAME:

                        dataListFromQuery[i][12] = dataFromRespon[12]

                        dataListFromQuery[i][53] = dataFromRespon[53]

                        dataListFromQuery[i][57] = dataFromRespon[57]

                        dataListFromQuery[i][58] = dataFromRespon[58]

                        dataListFromQuery[i][89] = dataFromRespon[89]

                        DNSDelay = (float(dataListFromQuery[i][12])-float(dataListFromQuery[i][11]))*1000000

                        dataListFromQuery[i][57] = str(DNSDelay)

            else:

                print "warning: The response message could not find the requested message", line

meteDataFile = open(out_path,'w')

for line in dataListFromQuery:

    if line[53]!="":

        line[59] = line[59].replace(",",";")

        meteDataFile.write("^".join(line) + "\n")

meteDataFile.close()

示意结果:

^^10.0.2.15^223.5.5.5^60088^53^17^^^^^1512356312.819122000^1512356312.860855000^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^0^daisy.ubuntu.com^1^0x00000001^41733.0265045^1357^10.0.2.15;223.5.5.5^^^^^^^^^^^^^^^^^^^^^4b3601000001000000000000056461697379067562756e747503636f6d0000010001^^^^^^^^^49^^^^^^^^^^^

^^10.0.2.15^223.5.5.5^60088^53^17^^^^^1512356312.819318000^1512356312.860855000^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^0^daisy.ubuntu.com^28^0x00000001^41537.0464325^1357^10.0.2.15;223.5.5.5^^^^^^^^^^^^^^^^^^^^^a82b01000001000000000000056461697379067562756e747503636f6d00001c0001^^^^^^^^^49^^^^^^^^^^^

pcap文件生成metadata——使用tshark解析tcpdump的pcap包的更多相关文章

  1. Android first---xml文件生成与解析

    一.使用append进行xml生成 Message类属性:private String body;        private String date;       private String a ...

  2. 自主创建tcpdump/wireshark pcap文件

      pcap文件格式是bpf保存原始数据包的格式,很多软件都在使用,比如tcpdump.wireshark等等,了解pcap格式可以加深对原始数据包的了解,自己也可以手工构造任意的数据包进行测试. p ...

  3. 构建tcpdump/wireshark pcap文件

      pcap文件格式是bpf保存原始数据包的格式,很多软件都在使用,比如tcpdump.wireshark等等,了解pcap格式可以加深对原始数据包的了解,自己也可以手工构造任意的数据包进行测试. p ...

  4. NodeJs之word文件生成与解析

    NodeJs之word文件生成与解析 一,介绍与需求 1.1,介绍 1,officegen模块可以为Microsoft Office 2007及更高版本生成Office Open XML文件.此模块不 ...

  5. python dpkt 解析 pcap 文件

    dpkt Tutorial #2: Parsing a PCAP File 原文链接:https://jon.oberheide.org/blog/2008/10/15/dpkt-tutorial-2 ...

  6. 解析Markdown文件生成React组件文档

    前言 最近做的项目使用了微前端框架single-spa. 对于这类微前端框架而言,通常有个utility应用,也就是公共应用,里面是各个子应用之间可以共用的一些公共组件或者方法. 对于一个团队而言,项 ...

  7. Linux使用tcpdump命令抓包保存pcap文件wireshark分析

    [root@ok Desktop]# yum search tcpdump Loaded plugins: fastestmirror, refresh-packagekit, security Lo ...

  8. pcapng文件的python解析实例以及抓包补遗

    为了弥补pcap文件的缺陷,让抓包文件可以容纳更多的信息,pcapng格式应运而生.关于它的介绍详见<PCAP Next Generation Dump File Format> 当前的w ...

  9. text2pcap: 将hex转储文本转换为Wireshark可打开的pcap文件

    简介 Text2pcap是一个读取ASCII hex转储的程序,它将描述的数据写入pcap或pcapng文件.text2pcap可以读取包含多个数据包的hexdumps,并构建多个数据包的捕获文件.t ...

随机推荐

  1. WEBGL学习笔记(七):实践练手1-飞行类小游戏之游戏控制

    接上一节,游戏控制首先要解决的就是碰撞检测了 这里用到了学习笔记(三)射线检测的内容了 以鸟为射线原点,向前.上.下分别发射3个射线,射线的长度较短大概为10~30. 根据上一节场景的建设,我把y轴设 ...

  2. 关于dlg和pro的问题

    微软链接:http://technet.microsoft.com/zh-cn/subscriptions/bb983387.aspx CDialogEx::CDialogEx 构造 CDialogE ...

  3. 给 iOS 开发者的 RxSwift(一)

    RxSwift 或许我们都听说过,但或许只知道 RxSwift 这个单词,长篇大论关于 RxSwift 的介绍往往使读者迷失在各种概念当中,却不知如何让它大展伸手.或许我们可以换一种姿势,一些应用场景 ...

  4. 文件系统VFS数据结构(超级块 inode dentry file)(收集整理)

    Linux虚拟文件系统四大对象: 1)超级块(super block) 2)索引节点(inode) 3)目录项(dentry) 4)文件对象(file) 一个进程在对一个文件进行操作时各种对象的引用过 ...

  5. 编写模块时的声明(含MODULE_LICENSE等)(转)

    编写模块必须先声明下面两句: #include <linux/module.h>               //这个头文件包含了许多符号与函数的定义,这些符号与函数多与加载模块有关 #i ...

  6. java 监听控制台输入

    分享一下我写的java监听控制台输入并可以给出响应的功能. 很多时候需要监听控制台的输入内容,相当于信号监听,根据输入的内容做出相应的动作,这里给出我的一个简单实现. 要注意的是:监听得到的消息中前后 ...

  7. node——express框架

    express基于Node.js是一个web开发框架,web框架是为了我们开发更方便,更简洁,更高效. 英文网址 中文网址 安装: npm install express --save express ...

  8. PySimpleGUI 的第一个桌面软件

    最近学习了python风格的GUI模块,寻思着既然学了,就要学以致用,花了点时间,写了下面这个 简历软件.后面,可以通过接口 获取提交的数据,传到数据库里与网页交互.此软件我已经打包成 exe软件,直 ...

  9. 小白学习Spark系列二:spark应用打包傻瓜式教程(IntelliJ+maven 和 pycharm+jar)

    在做spark项目时,我们常常面临如何在本地将其打包,上传至装有spark服务器上运行的问题.下面是我在项目中尝试的两种方案,也踩了不少坑,两者相比,方案一比较简单,本博客提供的jar包适用于spar ...

  10. [tyvj-2054][Nescafé29]四叶草魔杖 费用流

    lyd讲的最小生成树的题. 道理我都懂,费用流多好写,又好调.但和一般费用流不一样的就是它走过一次后费用需调成0,但是再等回流,就恢复原状即可. #include <queue> #inc ...