对WireShark 中的UDP抓包数据进行解析

对WireShark 中的UDP抓包数据进行解析

本文尝试对 WireShark 中抓包的 UDP 数据进行解析。 但是在尝试对 TCP 中的 FTP 数据进行解析的时候,发现除了从端口号进行区分之外, 没有什么好的方式来进行处理。

python 复制代码
import numpy as np
import matplotlib.pyplot as plt
from IPython import embed
from collections import Counter
import  pyshark
import pcapng
from datetime import datetime
import dpkt
import socket
from dpkt.utils import mac_to_str, inet_to_str


# https://zhuanlan.zhihu.com/p/582336672
# https://blog.csdn.net/simonchi/article/details/105682118

#打开抓包文件

cnt =  2
old_timestamp = 0
file_path = "./host_pc.pcapng"

time_list_pc_to_control = []
time_list_control_to_pc = []
data_list = []

joint_cmd = []
joint_fd = []
with open(file_path,"rb") as fp:
    pcapng_data = dpkt.pcapng.Reader(fp)
    for timestamp, buf  in pcapng_data:
        eth = dpkt.ethernet.Ethernet(buf)
        cnt += 1

        ## Ethernet_II 帧格式
        # ## 1、目标 Mac 地址
        # eth.dst
        # ## 2、源 Mac 地址
        # eth.src

        ## 3、得到Ethernet II 数据帧的类型。类型字段(Type )用于标识数据字段中包含的高层协议。类型字段取值为0x0800的帧代表IP协议帧;类型字段取值为0x0806的帧代表ARP协议帧。
        ## 0x0800: IP IP协议
        ## IPv4:     0x0800
        ## ARP:      0x0806
        ## RARP:     0x0835
        ## IPV6:     0x86DD
        ## EtherCAT: 0x88A4
        # print(hex(eth.type))

        # 说明是ARP协议: "Address Resolution Protocol"(地址解析协议)
        if eth.type == 0x0806:
            ip = eth.data
            # Hardware type
            print(ip.hrd)
            # protocol type
            print(ip.pro)
            # Hardware size
            print(ip.hln)
            # Protocol size
            print(ip.pln)
            # Opcode request: 1 是 request, 2 是 reply
            print(ip.op)

            # Sender MAC address
            print(mac_to_str(ip.sha))
            # Sender IP address
            print(inet_to_str(ip.spa))
            # Target MAC address
            print(mac_to_str(ip.tha))
            # Target IP address
            print(inet_to_str(ip.tpa))

        # 说明是 IPV4 协议
        if eth.type == 0x0800:
            ## 4、数据字段(Data )是网络层数据。
            ip = eth.data
            ## 得到 TCP/IP 数据包
            tcp = ip.data

            # Internet Protocol version 4 的解析
            # Version
            print(ip.v)
            # Header length
            print(ip.hl)
            # Differentiated Service Field
            print( ip.df)
            # Total length
            print(ip.len)
            # Identification
            print(ip.id)
            # Time to Live
            print(ip.ttl)
            # Protocol
            print(ip.p)
            # Source address
            print(inet_to_str(ip.src))
            # Destionation address
            print(inet_to_str(ip.dst))

            # print(type(ip))
            # src = socket.inet_ntoa(ip.src)
            # dst = socket.inet_ntoa(ip.dst)
            # sport = tcp.sport
            # dport = tcp.dport
            # print(f'Source IP: {ip.src}')
            # print(f'Destination IP: {ip.dst}')
            # print(f'Source Port: {tcp.sport}')
            # print(f'Destination Port: {tcp.dport}')
            # print("[+] 源地址: {}:{} --> 目标地址:{}:{}".format(src,sport,dst,dport))
            # print('IP: %s -> %s   (len=%d ttl=%d DF=%d MF=%d offset=%d)\n' %
            #         (inet_to_str(ip.src), inet_to_str(ip.dst), ip.len, ip.ttl, ip.df, ip.mf, ip.offset))

            # 当编号为 1 时,表示上层用的是 ICMP 协议--传输层的协议
            # 当编号为 6 时,表示上层用的是 TCP 协议--传输层的协议
            # 当编号为 17 时,表示上层用的是 UDP 协议--传输层的协议
            # if(type(ip) == dpkt.ip.IP):
            protocol = ip.p

            if protocol == 1:
                # ICMP 的解析: Internet control message Protocol
                icmp_data = ip.data
                # 标识ICMP报文的类型,从类型值来看ICMP报文可以分为两大类。第一类是取值为1~127的差错报文,第2类是取值128以上的信息报文
                icmp_data.type
                # 占一字节,标识对应ICMP报文的代码。它与类型字段一起共同标识了ICMP报文的详细类型
                icmp_data.code

            if protocol == 6:
                # Transmission Control Protocol 协议中的数据包
                tcp_data = ip.data

                # Source port
                tcp_data.sport
                # Destionation port
                tcp_data.dport
                # Sequence Number
                tcp_data.seq
                # Acknowledgment Number
                tcp_data.ack
                # Flag
                tcp_data.flags
                # Windows
                tcp_data.win
                # Checksum
                tcp_data.sum=49681
                # 用户下发的 TCP 协议内容
                tcp_data_data = tcp_data.data


                # 判断是否是 FTP协议,一个是看端口是否是21
                # ftp:21、20
                # ssh :22 
                # telnet:23
                # HTTP: 80
                # HTTPS: 443
                # TFTP: 69
                # DNS: 53
                # SNMP: 161
                # DHCP: 67/68

            if protocol == 17:

                # User Datagram protocol 协议中的数据包
                udp_data = ip.data

                # Destionation port
                udp_data.dport

                # Source port
                udp_data.sport

                # Length
                udp_data.ulen

                # 用户下发的UDP协议内容
                udp_data_data = udp_data.data

                # 用户下发数据的长度
                len(udp_data_data)
                
                # 解析在 UDP 中的数据
                if((protocol == 17) and (ip.dst == b'\xc0\xa8\nx') and (tcp.dport == 2095) ):
                    a = str(ip.data.data)
                    b = a.split(",")
                    # 得到对应的时间戳
                    time_list_pc_to_control.append(timestamp)
                    data_list.append(float(b[1]))
相关推荐
Moshow郑锴11 小时前
Java 中配置 Selenium UI 自动化测试 并生成 Cucumber 报告
java·selenium·测试工具
chem411120 小时前
协议 NTP UDP 获取实时网络时间
网络·网络协议·udp
技术猴小猴20 小时前
如何使用Python实现UDP广播
开发语言·python·udp
霍格沃兹软件测试开发1 天前
深入解析AppCrawler:开源自动遍历测试工具配置指南
测试工具·开源·自动化
zl21878654481 天前
Playwright同步、异步、并行、串行执行效率比较
开发语言·python·测试工具
韶光流年都束之高阁1 天前
Java中的TCP与UDP
java·tcp/ip·udp
小熊出擊2 天前
[pytest] autouse 参数:自动使用fixture
python·测试工具·单元测试·自动化·pytest
C++chaofan2 天前
通过Selenium实现网页截图来生成应用封面
java·spring boot·后端·selenium·测试工具·编程·截图
卓码软件测评2 天前
第三方软件测试机构:Appium如何使用Selenium的客户端库?
功能测试·selenium·测试工具·性能优化·appium
北岛三生2 天前
Imatest-Wedge模块
图像处理·数码相机·测试工具·测试用例·模块测试