对WireShark 中的UDP抓包数据进行解析

对WireShark 中的UDP抓包数据进行解析

本文尝试对 WireShark 中抓包的 UDP 数据进行解析。 但是在尝试对 TCP 中的 FTP 数据进行解析的时候,发现除了从端口号进行区分之外, 没有什么好的方式来进行处理。

python 复制代码
import numpy as np
import matplotlib.pyplot as plt
from IPython import embed
from collections import Counter
import  pyshark
import pcapng
from datetime import datetime
import dpkt
import socket
from dpkt.utils import mac_to_str, inet_to_str


# https://zhuanlan.zhihu.com/p/582336672
# https://blog.csdn.net/simonchi/article/details/105682118

#打开抓包文件

cnt =  2
old_timestamp = 0
file_path = "./host_pc.pcapng"

time_list_pc_to_control = []
time_list_control_to_pc = []
data_list = []

joint_cmd = []
joint_fd = []
with open(file_path,"rb") as fp:
    pcapng_data = dpkt.pcapng.Reader(fp)
    for timestamp, buf  in pcapng_data:
        eth = dpkt.ethernet.Ethernet(buf)
        cnt += 1

        ## Ethernet_II 帧格式
        # ## 1、目标 Mac 地址
        # eth.dst
        # ## 2、源 Mac 地址
        # eth.src

        ## 3、得到Ethernet II 数据帧的类型。类型字段(Type )用于标识数据字段中包含的高层协议。类型字段取值为0x0800的帧代表IP协议帧;类型字段取值为0x0806的帧代表ARP协议帧。
        ## 0x0800: IP IP协议
        ## IPv4:     0x0800
        ## ARP:      0x0806
        ## RARP:     0x0835
        ## IPV6:     0x86DD
        ## EtherCAT: 0x88A4
        # print(hex(eth.type))

        # 说明是ARP协议: "Address Resolution Protocol"(地址解析协议)
        if eth.type == 0x0806:
            ip = eth.data
            # Hardware type
            print(ip.hrd)
            # protocol type
            print(ip.pro)
            # Hardware size
            print(ip.hln)
            # Protocol size
            print(ip.pln)
            # Opcode request: 1 是 request, 2 是 reply
            print(ip.op)

            # Sender MAC address
            print(mac_to_str(ip.sha))
            # Sender IP address
            print(inet_to_str(ip.spa))
            # Target MAC address
            print(mac_to_str(ip.tha))
            # Target IP address
            print(inet_to_str(ip.tpa))

        # 说明是 IPV4 协议
        if eth.type == 0x0800:
            ## 4、数据字段(Data )是网络层数据。
            ip = eth.data
            ## 得到 TCP/IP 数据包
            tcp = ip.data

            # Internet Protocol version 4 的解析
            # Version
            print(ip.v)
            # Header length
            print(ip.hl)
            # Differentiated Service Field
            print( ip.df)
            # Total length
            print(ip.len)
            # Identification
            print(ip.id)
            # Time to Live
            print(ip.ttl)
            # Protocol
            print(ip.p)
            # Source address
            print(inet_to_str(ip.src))
            # Destionation address
            print(inet_to_str(ip.dst))

            # print(type(ip))
            # src = socket.inet_ntoa(ip.src)
            # dst = socket.inet_ntoa(ip.dst)
            # sport = tcp.sport
            # dport = tcp.dport
            # print(f'Source IP: {ip.src}')
            # print(f'Destination IP: {ip.dst}')
            # print(f'Source Port: {tcp.sport}')
            # print(f'Destination Port: {tcp.dport}')
            # print("[+] 源地址: {}:{} --> 目标地址:{}:{}".format(src,sport,dst,dport))
            # print('IP: %s -> %s   (len=%d ttl=%d DF=%d MF=%d offset=%d)\n' %
            #         (inet_to_str(ip.src), inet_to_str(ip.dst), ip.len, ip.ttl, ip.df, ip.mf, ip.offset))

            # 当编号为 1 时,表示上层用的是 ICMP 协议--传输层的协议
            # 当编号为 6 时,表示上层用的是 TCP 协议--传输层的协议
            # 当编号为 17 时,表示上层用的是 UDP 协议--传输层的协议
            # if(type(ip) == dpkt.ip.IP):
            protocol = ip.p

            if protocol == 1:
                # ICMP 的解析: Internet control message Protocol
                icmp_data = ip.data
                # 标识ICMP报文的类型,从类型值来看ICMP报文可以分为两大类。第一类是取值为1~127的差错报文,第2类是取值128以上的信息报文
                icmp_data.type
                # 占一字节,标识对应ICMP报文的代码。它与类型字段一起共同标识了ICMP报文的详细类型
                icmp_data.code

            if protocol == 6:
                # Transmission Control Protocol 协议中的数据包
                tcp_data = ip.data

                # Source port
                tcp_data.sport
                # Destionation port
                tcp_data.dport
                # Sequence Number
                tcp_data.seq
                # Acknowledgment Number
                tcp_data.ack
                # Flag
                tcp_data.flags
                # Windows
                tcp_data.win
                # Checksum
                tcp_data.sum=49681
                # 用户下发的 TCP 协议内容
                tcp_data_data = tcp_data.data


                # 判断是否是 FTP协议,一个是看端口是否是21
                # ftp:21、20
                # ssh :22 
                # telnet:23
                # HTTP: 80
                # HTTPS: 443
                # TFTP: 69
                # DNS: 53
                # SNMP: 161
                # DHCP: 67/68

            if protocol == 17:

                # User Datagram protocol 协议中的数据包
                udp_data = ip.data

                # Destionation port
                udp_data.dport

                # Source port
                udp_data.sport

                # Length
                udp_data.ulen

                # 用户下发的UDP协议内容
                udp_data_data = udp_data.data

                # 用户下发数据的长度
                len(udp_data_data)
                
                # 解析在 UDP 中的数据
                if((protocol == 17) and (ip.dst == b'\xc0\xa8\nx') and (tcp.dport == 2095) ):
                    a = str(ip.data.data)
                    b = a.split(",")
                    # 得到对应的时间戳
                    time_list_pc_to_control.append(timestamp)
                    data_list.append(float(b[1]))
相关推荐
测试199842 分钟前
自动化测试报告生成(Allure)
自动化测试·软件测试·python·selenium·测试工具·职场和发展·测试用例
微小冷4 小时前
ARP协议详解及其Wireshark抓包测试
网络·测试工具·wireshark·抓包·tcp/ip协议·arp协议·地址解析协议
00后程序员张6 小时前
Fiddler使用教程,全面掌握Fiddler抓包工具的配置方法、代理设置与调试技巧(HTTPHTTPS全解析)
前端·测试工具·ios·小程序·fiddler·uni-app·webview
程序员小远7 小时前
如何编写自动化测试用例?
自动化测试·软件测试·python·测试工具·职场和发展·测试用例·接口测试
listhi5201 天前
TCP 和 UDP 协议的通信解析
网络协议·tcp/ip·udp
卓码软件测评1 天前
使用Wireshark测试手机APP网络通信完整指南
网络·功能测试·测试工具·智能手机·wireshark·测试用例·压力测试
天才测试猿1 天前
黑盒测试用例的四种设计方法
自动化测试·软件测试·python·功能测试·测试工具·职场和发展·测试用例
feiyangqingyun1 天前
Qt和ffmpeg结合打造gb28181推流/支持udp和tcp被动以及tcp主动三种方式
qt·udp·ffmpeg
测试界清流1 天前
接口测试及常用接口测试工具
测试工具