对WireShark 中的UDP抓包数据进行解析

对WireShark 中的UDP抓包数据进行解析

本文尝试对 WireShark 中抓包的 UDP 数据进行解析。 但是在尝试对 TCP 中的 FTP 数据进行解析的时候,发现除了从端口号进行区分之外, 没有什么好的方式来进行处理。

python 复制代码
import numpy as np
import matplotlib.pyplot as plt
from IPython import embed
from collections import Counter
import  pyshark
import pcapng
from datetime import datetime
import dpkt
import socket
from dpkt.utils import mac_to_str, inet_to_str


# https://zhuanlan.zhihu.com/p/582336672
# https://blog.csdn.net/simonchi/article/details/105682118

#打开抓包文件

cnt =  2
old_timestamp = 0
file_path = "./host_pc.pcapng"

time_list_pc_to_control = []
time_list_control_to_pc = []
data_list = []

joint_cmd = []
joint_fd = []
with open(file_path,"rb") as fp:
    pcapng_data = dpkt.pcapng.Reader(fp)
    for timestamp, buf  in pcapng_data:
        eth = dpkt.ethernet.Ethernet(buf)
        cnt += 1

        ## Ethernet_II 帧格式
        # ## 1、目标 Mac 地址
        # eth.dst
        # ## 2、源 Mac 地址
        # eth.src

        ## 3、得到Ethernet II 数据帧的类型。类型字段(Type )用于标识数据字段中包含的高层协议。类型字段取值为0x0800的帧代表IP协议帧;类型字段取值为0x0806的帧代表ARP协议帧。
        ## 0x0800: IP IP协议
        ## IPv4:     0x0800
        ## ARP:      0x0806
        ## RARP:     0x0835
        ## IPV6:     0x86DD
        ## EtherCAT: 0x88A4
        # print(hex(eth.type))

        # 说明是ARP协议: "Address Resolution Protocol"(地址解析协议)
        if eth.type == 0x0806:
            ip = eth.data
            # Hardware type
            print(ip.hrd)
            # protocol type
            print(ip.pro)
            # Hardware size
            print(ip.hln)
            # Protocol size
            print(ip.pln)
            # Opcode request: 1 是 request, 2 是 reply
            print(ip.op)

            # Sender MAC address
            print(mac_to_str(ip.sha))
            # Sender IP address
            print(inet_to_str(ip.spa))
            # Target MAC address
            print(mac_to_str(ip.tha))
            # Target IP address
            print(inet_to_str(ip.tpa))

        # 说明是 IPV4 协议
        if eth.type == 0x0800:
            ## 4、数据字段(Data )是网络层数据。
            ip = eth.data
            ## 得到 TCP/IP 数据包
            tcp = ip.data

            # Internet Protocol version 4 的解析
            # Version
            print(ip.v)
            # Header length
            print(ip.hl)
            # Differentiated Service Field
            print( ip.df)
            # Total length
            print(ip.len)
            # Identification
            print(ip.id)
            # Time to Live
            print(ip.ttl)
            # Protocol
            print(ip.p)
            # Source address
            print(inet_to_str(ip.src))
            # Destionation address
            print(inet_to_str(ip.dst))

            # print(type(ip))
            # src = socket.inet_ntoa(ip.src)
            # dst = socket.inet_ntoa(ip.dst)
            # sport = tcp.sport
            # dport = tcp.dport
            # print(f'Source IP: {ip.src}')
            # print(f'Destination IP: {ip.dst}')
            # print(f'Source Port: {tcp.sport}')
            # print(f'Destination Port: {tcp.dport}')
            # print("[+] 源地址: {}:{} --> 目标地址:{}:{}".format(src,sport,dst,dport))
            # print('IP: %s -> %s   (len=%d ttl=%d DF=%d MF=%d offset=%d)\n' %
            #         (inet_to_str(ip.src), inet_to_str(ip.dst), ip.len, ip.ttl, ip.df, ip.mf, ip.offset))

            # 当编号为 1 时,表示上层用的是 ICMP 协议--传输层的协议
            # 当编号为 6 时,表示上层用的是 TCP 协议--传输层的协议
            # 当编号为 17 时,表示上层用的是 UDP 协议--传输层的协议
            # if(type(ip) == dpkt.ip.IP):
            protocol = ip.p

            if protocol == 1:
                # ICMP 的解析: Internet control message Protocol
                icmp_data = ip.data
                # 标识ICMP报文的类型,从类型值来看ICMP报文可以分为两大类。第一类是取值为1~127的差错报文,第2类是取值128以上的信息报文
                icmp_data.type
                # 占一字节,标识对应ICMP报文的代码。它与类型字段一起共同标识了ICMP报文的详细类型
                icmp_data.code

            if protocol == 6:
                # Transmission Control Protocol 协议中的数据包
                tcp_data = ip.data

                # Source port
                tcp_data.sport
                # Destionation port
                tcp_data.dport
                # Sequence Number
                tcp_data.seq
                # Acknowledgment Number
                tcp_data.ack
                # Flag
                tcp_data.flags
                # Windows
                tcp_data.win
                # Checksum
                tcp_data.sum=49681
                # 用户下发的 TCP 协议内容
                tcp_data_data = tcp_data.data


                # 判断是否是 FTP协议,一个是看端口是否是21
                # ftp:21、20
                # ssh :22 
                # telnet:23
                # HTTP: 80
                # HTTPS: 443
                # TFTP: 69
                # DNS: 53
                # SNMP: 161
                # DHCP: 67/68

            if protocol == 17:

                # User Datagram protocol 协议中的数据包
                udp_data = ip.data

                # Destionation port
                udp_data.dport

                # Source port
                udp_data.sport

                # Length
                udp_data.ulen

                # 用户下发的UDP协议内容
                udp_data_data = udp_data.data

                # 用户下发数据的长度
                len(udp_data_data)
                
                # 解析在 UDP 中的数据
                if((protocol == 17) and (ip.dst == b'\xc0\xa8\nx') and (tcp.dport == 2095) ):
                    a = str(ip.data.data)
                    b = a.split(",")
                    # 得到对应的时间戳
                    time_list_pc_to_control.append(timestamp)
                    data_list.append(float(b[1]))
相关推荐
2501_915106324 小时前
TraceEagle 代理抓包教程 本机和手机的 HTTPS 抓包方法
网络协议·计算机网络·网络安全·ios·adb·https·udp
Saniffer_SH5 小时前
NAND技术(二):从 Channel、Die/LUN、P/E Cycle 到 LDPC,一次讲透 NAND 里那些最容易误解的概念
人工智能·驱动开发·嵌入式硬件·测试工具·fpga开发·计算机外设·压力测试
杭州双色云谱11 小时前
2026年蓝光光谱照度计选购与实战指南:双色云谱如何守护光环境安全?
科技·测试工具
一孤程14 小时前
AI辅助测试用例生成实战——用大模型把测试设计效率提升300%
人工智能·测试工具·ai·aigc·测试用例·测试·测试覆盖率
测试员周周1 天前
【skills5】一份 spec 生成 k6/JMeter/Locust:性能压测 + 全站截图,上线前的双保险
功能测试·网络协议·测试工具·jmeter·http·自动化·集成测试
爱学习的程序媛1 天前
SIP抓包调试、故障排查与项目上线实战手册
运维·wireshark·呼叫中心·联络中心·sip协议·sip信令
蝶恋舞者1 天前
Wireshark 抓包工具
网络·测试工具·wireshark
天才测试猿1 天前
如何封装自动化测试框架?
自动化测试·软件测试·python·selenium·测试工具·职场和发展·测试用例
2501_916007472 天前
抓包工具对比 Charles、Fiddler、TraceEagle、Wireshark 与 Proxyman
前端·网络协议·ios·adb·https·fiddler·wireshark