<p>因工作需要,在列车上用wireshark抓包存储了一段数据,文件格式是.pcapng。使用wireshark可以很方便的进行简单的数据查看,但是想提取某几个特定的comID数据进行数据分析处理就难了。这里可以使用python来对pcapng数据进行解析。</p> 讯享网
参考资料
PCAP 下一代转储文件格式 (winpcap.org)
PCAPNG文件格式详解——这一篇就够了!-CSDN博客
网络分析笔记01:pcapng格式的整体解包_网络协议分析-CSDN专栏
一.安装pcapng库
pin install python-pcapng
安装完成后,可通过pin list查看已安装的库及其版本信息。
在安装pcapng库之前,走了很多弯路,安装了很多其他的库,像是pyshark,dpkt。不知道只安装pcapng有没有问题。
二.pcapng解析
1.结构
pcapng文件的最小单位是“block块”,其结构如下:
块有很多种类型,我手里的这个pcapng文件里有4种类型的块,分别是节头块,接口描述块,增强分组块和接口统计块。
节头块格式如下:
其中可选字段格式:
接口描述块格式:
接口统计块格式:
增强分组块格式:
我们要处理的数据都在增强分组块中,对增强分组块中的分组数据进行解析,可以获取目标地址MAC,源地址MAC,根据类型判断是IP数据,还是ARP或者RARP:
我手里的数据经解析是IP数据,对上图的IP数据进一步解析,获得源IP地址,目标IP地址,协议:
协议解析为UDP,对上图的数据进一步解析,获得源端口号,目标端口号:
接下来的数据用的是TRDP协议,对上图中的数据进一步解析,可以获得通信端口和应用数据等,就可以进一步提取自己需要的信息进行分析了:
2.代码
1)解析块
讯享网
2)解析节头块
3)解析接口描述块
讯享网
4)解析增强分组块
5)解析链路层
讯享网
6)解析IP协议
7)解析UDP协议
讯享网
8)解析TRDP协议
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容,请联系我们,一经查实,本站将立刻删除。
如需转载请保留出处:https://51itzy.com/kjqy/140904.html