我收集了几mb的网络流量,并希望对其进行分析.我面临的问题是我想以某种方式存储它,以便在搜索它时可以减少时间复杂度. 我脑海中的第一个想法是将其放入具有所有列属性的数据库中,但是后来我意识到表中将有很多NULL值,这会降低数据库的性能.即使对于小型数据库来说性能下降很小,当我将解析一个大的* .pcap文件(大于1Gb)时,性能下降也会严重影响数据库的性能. AS的数据库大小将增加,表中的NULL值也会增加. 因此,有没有更好的方法来存...
我有大约10GB的pcap数据和IPv6流量,用于分析存储在IPv6头和其他扩展头中的信息.为此,我决定使用Scapy框架.我尝试了rdpcap函数,但是对于如此大的文件,不建议这样做.它试图将所有文件加载到内存中并卡在我的情况下.我在网上发现在这种情况下建议使用嗅探器,我的代码如下所示:def main():sniff(offline='traffic.pcap', prn=my_method,store=0)def my_method(packet):packet.show()在名为my_method的函数中,我分别接收每个数据包,并且...
我需要读取一个PCAP文件,修改一些字段(实际上是IPv4源和目标,以及以太网源和目标). PCAP已预先过滤,仅包括基于以太网的IPv4数据包. 到目前为止,我尝试使用Scapy进行此操作,但是Scapy存在严重的内存问题.读取?350MB PCAP文件时,我的16GB RAM已满.实际上,只是阅读.我对此文件没有做任何其他事情.我也有found this answer,有了这些更改,阅读速度很快.一旦我开始修改数据包,内存就会再次膨胀. Scapy实际上在这种情况下不可用 我还考虑过...
我正在尝试创建一个非常简单的PCAP文件(1条UDP消息).使用dpkt(pcap.Writer)尝试过,没有运气,文档也很少.任何人都可以发表工作示例吗?(或其他任何替代方法-我不受dpkt的约束)解决方法:您可以使用Scapy. https://scapy.readthedocs.io/en/latest/installation.html 如果使用Python 3:pip3 install scapy然后在Python中:from scapy.all import wrpcap, Ether, IP, UDP packet = Ether() / IP(dst="1.2.3.4") / UDP(dport=123) wrpc...
最近想在win7上安装pypcap,遇到了一下问题,现在大概总结一下:直接使用pip install pypcap,提示pcap.h not found; 网上下载pypcap安装包,运行python setup.py install 进行安装,还是安装失败,具体提示什么错误忘记了; 查看安装包的里面的“README.rst”文件;大概意思是windows用户下载npcap sdk后并解压,把文件拷贝目录wpdpack下,该目录与pcap的同级 4.继续执行python setup.py install时报microsoft ...
1 #!/usr/bin/env python2 # -*- coding: utf-8 -*-3 4 """ 网络数据包捕获与分析程序 """5 6 import pcap7 import dpkt8 import json9 import re10 import time11 from urllib import unquote12 13 # 过滤输出目标ip14 dst_lists = [15 203.66.1.212, # nslookup dpdcs.4399sy.com.hk16 52.74.10.186, # nslookup dpdcs.4399en.com17 52.58.69.212, # nslookup dpdcs.4399sy.ru18 220.241.11.3, # nslookup d...
Python是世界上最好的语言!它使用不可见的制表键作为其语法的一部分!Vim和Emacs的区别在于,它可以帮助乌干达的儿童...不讨论哲学,不看第一印象,也没有KPI相逼,但是Python真的做到了”你不用操心语言本身,只需要关注你自己的业务逻辑需求“!我的需求比较简单,那就是:使用tcpdump/tshark抓取且仅抓取一类TCP流,该TCP流是HTTP流,访问特定的URL,如果用我们熟悉的tcpdump命令来表示,它可能是以下的样子:tcpdump -i eth0 ...
最近一直在分析数据包。同时也一直想学python。 凑一块儿了...于是,便开工了。座椅爆炸! 正文 首先要说的是,我知道python有很多解析pcap文件的库,这里不使用它们的原因是为了理解pcap文件的格式细节。使用tcpdump你可以很容易抓取到一系列的数据包,然而tcpdump并没有分析数据包的功能,如果想从这个抓包文件中分析出一些端倪,比如重传情况,你必须使用wireshark之类的软件,用wireshark打开tcpdump抓取的pcap文件,如果你看到...
最近有一个要求我将“tcpdump -i eth0 -neXXs0”的文本输出转换为pcap文件.所以我编写了一个python脚本,将信息转换为text2pcap可理解的中间格式.由于这是我在python中的第一个程序,显然还有改进的余地.我希望知识渊博的人能够消除任何干扰和/或增强它. 输入 tcpdump输出采用以下格式: 20:11:32.001190 00:16:76:7f:2b:b1> 00:11:5c:78:ca:c0,ethertype IPv4(0x0800),长度72:123.236.188.140.41756> 94.59.34.210.459...