Chinaunix首页 | 论坛 | 博客

菜鸟先飞

首页 |  博文目录 |  关于我

luoyan_xy

  • 博客访问: 372048
  • 博文数量: 73
  • 博客积分: 3574
  • 博客等级: 中校
  • 技术积分: 1503
  • 用 户 组: 普通用户
  • 注册时间: 2010-03-26 11:17
文章分类

全部博文(73)

文章存档

2012年(14)

2011年(15)

2010年(44)

我的朋友
最近访客
推荐博文
相关博文
python解析pcap文件

分类: Python/Ruby

2012-06-17 15:28:59

  python中对2进制文件的解析提供了一个struct的模块,利用这个模块可以实现python对pcap文件的解析


  今天下午闲来无事,就顺手写了一下,写的很粗糙,很多细节没去考虑,找了最简单的icmp包试验了一下,暂时没发现问题。。。

 这个是主要的代码,代码主要打印了ip头部的信息,不过没有考虑到ip扩展头的情况

点击(此处)折叠或打开

  1. #!/usr/bin/env python
  2. # -*- coding = UTF-8 -*-

  4. import sys
  5. from struct import pack,unpack
  6. from ip import print16
  7. from ip import str_to_addr
  8. from ip import addr_to_strn
  9. from ip import addr_to_strh
  10. '''
  11. pcap file = pcap_file_header + pcap_header + skb +...
  12. pcap_file_header 24B, pcap_header 16B
  13. '''

  15. pcap_file_header = ['majic','version_major','version_minor','zone','max_len','time_stap','link_type']

  17. pcap_header = ['gmt_time','micro_time','pcap_len','len']

  19. ip_header = ['version,ihl','tos','tot_len','id','frag_off','ttl','protocol','check','saddr','daddr']

  21. def print_mac_head(skb):
  22.     pass

  24. def print_ip_head(skb):
  25.     head = unpack('!BBHHHBBHII',skb[0:20])
  26.     #print "%x,%x,%x,%x,%x,%x,%x,%x,%x,%x" %(head)
  27.     skb_head = dict(zip(ip_header,head))
  28.     for key in skb_head.keys():
  29.         if(key == 'saddr' or key == 'daddr'):
  30.             print key,addr_to_strh(skb_head[key])
  31.         else:
  32.             print key,skb_head[key]

  34. def main():
  35.     if(len(sys.argv) != 2):
  36.         print 'Usage: ./pcap.py file.pcap'
  37.     else:
  38.         fp = open(sys.argv[1],'rb')
  39.         text = fp.read()
  40.         index = 0

  42.         #pcap file head
  43.         head1 = unpack('IHHIIII',text[index:24 + index])
  44.         index += 24
  45.         file_head = dict(zip(pcap_file_header,head1))
  46.         print file_head

  48.         while(index < len(text)):
  49.             head2 = unpack('IIII',text[index:16 + index])
  50.             index += 16
  51.             pcap_head1 = dict(zip(pcap_header,head2))
  52.             #print pcap_head1
  53.             pcap_len = pcap_head1['pcap_len']
  54.             #print pcap_len
  55.             skb = text[index : pcap_len + index]
  56.             print_mac_head(skb[:14])
  57.             print_ip_head(skb[14:])
  58.             index += pcap_len

  60. if __name__ == '__main__':
  61.     main()
 其中的ip模块是自己写的,主要为了实现C语言中的inet_addr及反向转换的过程,socket模块中应该有类似的实现,不过那个模块还没玩过,暂时将就下。。

点击(此处)折叠或打开

  1. #!/usr/src/env python
  2. # -*- coding = UTF-8 -*-

  4. import sys

  6. ip_mask=[0,8,16,24]
  7. ip_mask2 = [24,16,8,0]

  9. def print16(num):
  10.     print '0x%x'%(num)

  12. #转换成网络字节序    
  13. def str_to_addr(s):
  14.     ip = ( int(i) for i in s.split('.'))
  15.     return reduce(lambda x,y:x+y,map(lambda x:x[0] << x[1],zip(ip,ip_mask)))

  17. #网络字节序显示
  18. def addr_to_strn(s):
  19.     return '.'.join([str((s & (0xff << x)) >> x) for x in ip_mask])

  21. #主机字节序显示    
  22. def addr_to_strh(s):
  23.     return '.'.join([str((s & (0xff << x)) >> x) for x in ip_mask2])

  struct基本上能够完成对于二进制文件的格式解析,但是遇到的一个主要问题就是,它最低解析位是unsigned char类型,即一个字节,对于C语言中的位格式,比如ip头部中的 u8 ihl:4; u8 version:4 , 暂时没发现什么好的方法把它解析出来,这点是使用起来不太爽的地方。
  当然也可能是自己还没发现正确的使用方法。。。

阅读(11377) | 评论(1) | 转发(0) |
0

上一篇:(void) (&_x == &_y)

下一篇:对齐二三事

给主人留下些什么吧!~~

Bean_lee2012-06-24 17:17:08

这个 对我有用,正四处找pcap相关的资料呢。

回复 | 举报
关于我们 | 关于IT168 | 联系方式 | 广告合作 | 法律声明 | 免费注册

Copyright 2001-2010 ChinaUnix.net All Rights Reserved 北京皓辰网域网络信息技术有限公司. 版权所有

感谢所有关心和支持过ChinaUnix的朋友们

16024965号-6