当前位置: 首页 > news >正文

网络流量分析>>pcapng文件快速分析有用价值解析

引言

在网络安全和流量管理中,解析网络协议数据包是了解网络行为和检测潜在威胁的关键步骤。本文介绍了如何使用Python解析和分析TCP、UDP和ICMP协议的数据包,并统计端口的访问次数。本文的示例代码展示了如何处理不同协议的数据包,提取关键信息,并对网络流量进行深入分析。

环境设置

在开始之前,我们需要设置环境以便使用pyshark库进行数据包捕获和解析。首先,我们需要安装Wireshark并确保tshark命令行工具可用。然后,我们在代码中设置tshark的路径,并创建一个用于保存下载文件的目录。

import os# 设置tshark路径
os.environ['TSHARK_PATH'] = 'D:\\Wireshark\\tshark.exe'
os.environ['PATH'] += os.pathsep + 'D:\\Wireshark'# 创建下载目录
DOWNLOAD_DIR = 'xiazai'
if not os.path.exists(DOWNLOAD_DIR):os.makedirs(DOWNLOAD_DIR)

数据包解析

我们的核心函数是analyze_pcap,它使用pyshark库解析给定的PCAP文件,并提取TCP、UDP和ICMP协议的数据包。通过该函数,我们能够捕获流量中的源IP、目的IP、源端口、目的端口等信息,并识别DNS查询和TLS握手数据。

import pyshark
from collections import defaultdictdef analyze_pcap(pcap_file, tshark_path):cap = pyshark.FileCapture(pcap_file, tshark_path=tshark_path)flows = defaultdict(list)dns_queries = defaultdict(list)tls_handshakes = defaultdict(list)icmp_packets = []for packet in cap:try:src_ip = packet.ip.srcdst_ip = packet.ip.dsttransport_layer = packet.transport_layerif transport_layer in ['TCP', 'UDP']:src_port = packet[transport_layer].srcportdst_port = packet[transport_layer].dstportflow_key = (src_ip, dst_ip, src_port, dst_port)flows[flow_key].append(packet)if transport_layer == 'UDP' and hasattr(packet, 'dns'):dns_query = packet.dns.qry_namedns_queries[flow_key].append(dns_query)if hasattr(packet, 'tls'):if hasattr(packet.tls, 'handshake_type'):tls_handshake_type = packet.tls.handshake_typetls_handshakes[flow_key].append(tls_handshake_type)elif transport_layer == 'ICMP':icmp_packets.append(packet)except AttributeError:continuereturn flows, dns_queries, tls_handshakes, icmp_packets

数据包解析

我们的核心函数是analyze_pcap,它使用pyshark库解析给定的PCAP文件,并提取TCP、UDP和ICMP协议的数据包。通过该函数,我们能够捕获流量中的源IP、目的IP、源端口、目的端口等信息,并识别DNS查询和TLS握手数据。

import pyshark
from collections import defaultdictdef analyze_pcap(pcap_file, tshark_path):cap = pyshark.FileCapture(pcap_file, tshark_path=tshark_path)flows = defaultdict(list)dns_queries = defaultdict(list)tls_handshakes = defaultdict(list)icmp_packets = []for packet in cap:try:src_ip = packet.ip.srcdst_ip = packet.ip.dsttransport_layer = packet.transport_layerif transport_layer in ['TCP', 'UDP']:src_port = packet[transport_layer].srcportdst_port = packet[transport_layer].dstportflow_key = (src_ip, dst_ip, src_port, dst_port)flows[flow_key].append(packet)if transport_layer == 'UDP' and hasattr(packet, 'dns'):dns_query = packet.dns.qry_namedns_queries[flow_key].append(dns_query)if hasattr(packet, 'tls'):if hasattr(packet.tls, 'handshake_type'):tls_handshake_type = packet.tls.handshake_typetls_handshakes[flow_key].append(tls_handshake_type)elif transport_layer == 'ICMP':icmp_packets.append(packet)except AttributeError:continuereturn flows, dns_queries, tls_handshakes, icmp_packets

文件提取和分析

在捕获流量之后,我们需要提取并分析其中的文件和图像。以下代码展示了如何从HTTP流量中提取ZIP、PDF和图像文件,并检测其中的敏感信息或潜在威胁。

import zipfile
import PyPDF2
from PIL import Image
import re
from datetime import datetimedef extract_files(flows, keywords):# 省略代码passdef check_and_extract_zip(file_name, keywords):# 省略代码passdef check_and_extract_pdf(file_name, keywords):# 省略代码passdef check_and_extract_image(file_name):# 省略代码passdef detect_sql_injection(payload):# 省略代码passdef clean_text(text):# 省略代码passdef save_sql_injection_data(flow, post_data, pcap_file_name):# 省略代码passdef save_password_post_data(flow, post_data, pcap_file_name):# 省略代码pass

应用程序和端口分析

为了更全面地了解网络流量,我们还需要分析端口的使用情况和应用层协议的数据。以下代码展示了如何统计各端口的访问次数,并检测潜在的SQL注入攻击和敏感信息泄露。

def detect_application(flows, dns_queries, tls_handshakes, icmp_packets, pcap_file_name):flow_summary = defaultdict(int)port_usage = defaultdict(lambda: defaultdict(int))src_dst_port_usage = defaultdict(lambda: defaultdict(lambda: defaultdict(int)))password_patterns = [r"password", r"passwd", r"pwd", r"pass"]>>>>关注加好友 发源代码<<<<    print("\nHTTP流量检测:")for flow_key, count in flow_summary.items():host, method, url = flow_keyprint(f"主机: {host}, 请求方法: {method}, URL: {url} - 出现次数: {count}")print("\n端口使用情况:")for port, methods in port_usage.items():for method, count in methods.items():print(f"端口 {port} 上的 {method} 请求次数: {count}")print("\n源IP到目的IP的端口使用情况:")for src_ip, dst_ips in src_dst_port_usage.items():for dst_ip, ports in dst_ips.items():for port, count in ports.items():print(f"{src_ip} -> {dst_ip} 端口 {port} 使用次数: {count}")print("\nDNS查询:")for flow_key, queries in dns_queries.items():src_ip, dst_ip, src_port, dst_port = flow_keyfor query in queries:print(f"{src_ip} -> {dst_ip} : DNS查询 {query}")print("\nTLS握手:")for flow_key, handshakes in tls_handshakes.items():src_ip, dst_ip, src_port, dst_port = flow_keyfor handshake in handshakes:print(f"{src_ip} -> {dst_ip} : TLS握手类型 {handshake}")print("\nICMP包:")for packet in icmp_packets:src_ip = packet.ip.srcdst_ip = packet.ip.dsticmp_type = packet.icmp.typeicmp_code = packet.icmp.codeprint(f"ICMP包:{src_ip} -> {dst_ip}, 类型: {icmp_type}, 代码: {icmp_code}")

主程序

在主程序中,我们首先调用analyze_pcap函数解析PCAP文件,然后调用其他函数进行文件提取、应用程序检测和端口分析。

if __name__ == '__main__':pcap_file = '.\\test3.pcapng'tshark_path = 'D:\\Wireshark\\tshark.exe'keywords = ['password', 'secret', 'confidential']try:flows, dns_queries, tls_handshakes, icmp_packets = analyze_pcap(pcap_file, tshark_path)extract_files(flows, keywords)detect_application(flows, dns_queries, tls_handshakes, icmp_packets, os.path.basename(pcap_file))except FileNotFoundError:print(f"文件未找到: {pcap_file}")except Exception as e:print(f"发生错误: {e}")

运行结果

作者ps:对于流量分析我暂时只能写到这个部分如果你有更好的想法可以和我私聊,这个程序也是我之间打打ctf玩玩也能。

相关文章:

网络流量分析>>pcapng文件快速分析有用价值解析

引言 在网络安全和流量管理中&#xff0c;解析网络协议数据包是了解网络行为和检测潜在威胁的关键步骤。本文介绍了如何使用Python解析和分析TCP、UDP和ICMP协议的数据包&#xff0c;并统计端口的访问次数。本文的示例代码展示了如何处理不同协议的数据包&#xff0c;提取关键…...

【大模型系列篇】Vanna-ai基于检索增强(RAG)的sql生成框架

简介 Vanna是基于检索增强(RAG)的sql生成框架 Vanna 使用一种称为 LLM&#xff08;大型语言模型&#xff09;的生成式人工智能。简而言之&#xff0c;这些模型是在大量数据&#xff08;包括一堆在线可用的 SQL 查询&#xff09;上进行训练的&#xff0c;并通过预测响应提示中最…...

【Nacos安装】

这里写目录标题 Nacos安装jar包启动Docker单体Docker集群 Nacos相关配置日志配置数据库配置 Nacos安装 jar包启动 下载jar包 在官方github&#xff0c;根据需求选择相应的版本下载。 解压 tar -zxvf nacos-server-2.4.0.1.tar.gz或者解压到指定目录 tar -zxvf nacos-serv…...

js、ts、argular、nodejs学习心得

工作中需要前端argular开发桌面程序&#xff0c;后端用nodejs开发服务器&#xff0c;商用软件架构...

【Unity】RPG2D龙城纷争(十八)平衡模拟器

更新日期:2024年7月31日。 项目源码:第五章发布(正式开始游戏逻辑的章节) 索引 简介一、BalanceSimulator 类二、RoleAgent 角色代理类三、绘制代理角色四、模拟攻击简介 平衡模拟器用于实时模拟测试角色属性以及要诀属性的数值,以寻找数值设计的平衡性。 介于运行正式游…...

java.lang.IllegalStateException: Duplicate key InventoryDetailDO

以下总结自以下链接 Java8 Duplicate key 异常解决-CSDN博客 原因&#xff1a;由于我们使用了jdk8的新特性中的stream流&#xff0c;将list转换为map集合&#xff0c;但是原来的list集合中存在重复的值&#xff0c;我们不知道如何进行取舍&#xff0c;所以报错 解决方式&…...

Python使用selenium访问网页完成登录——装饰器重试机制汇总

文章目录 示例一:常见装饰器编写重试机制示例二&#xff1a;使用类实现装饰器示例三&#xff1a;使用函数装饰器并返回闭包示例四&#xff1a;使用 wrapt 模块 示例一:常见装饰器编写重试机制 示例代码 import time import traceback import logging from typing import Call…...

“微软蓝屏”事件引发的深度思考:网络安全与系统稳定性的挑战与应对

“微软蓝屏”事件暴露了网络安全哪些问题&#xff1f; 近日&#xff0c;一次由微软视窗系统软件更新引发的全球性“微软蓝屏”事件&#xff0c;不仅成为科技领域的热点新闻&#xff0c;更是一次对全球IT基础设施韧性与安全性的深刻检验。这次事件&#xff0c;源于美国电脑安全…...

2024.07纪念一 debezium : spring-boot结合debezium

使用前提&#xff1a; 一、mysql开启了logibin 在mysql的安装路径下的my.ini中 【mysqlid】下 添加 log-binmysql-bin # 开启 binlog binlog-formatROW # 选择 ROW 模式 server_id1 # 配置 MySQL replaction 需要定义&#xff0c;不要和 canal 的 slaveId 重复 参考gitee的项目…...

mysql怎么查询json里面的字段

mysql怎么查询json里面的字段&#xff1a; 要在 MySQL 数据库中查询 JSON 字段中的 city 值&#xff0c;你可以使用 MySQL 提供的 JSON 函数。假设表名是 your_table&#xff0c;包含一个名为 json_column 的 JSON 字段。 以下是一个查询示例&#xff0c;展示如何从 json_colu…...

C++ 右值 左值引用

一.什么是左值引用 右值引用 1.左值引用 左值是一个表示数据的表达式(如变量名或解引用的指针)&#xff0c;我们可以获取它的地址可以对它赋值。定义时const修饰符后的左值&#xff0c;不能给他赋值&#xff0c;但是可以取它的地址。左值引用就是给左值的引用&#xff0c;给左…...

「JavaEE」Spring IoC 1:Bean 的存储

&#x1f387;个人主页 &#x1f387;所属专栏&#xff1a;Spring &#x1f387;欢迎点赞收藏加关注哦&#xff01; IoC 简介 IoC 全称 Inversion of Control&#xff0c;即控制反转 控制反转是指控制权反转&#xff1a;获得依赖对象的过程被反转了 传统开发模式中&…...

springBoot快速搭建WebSocket

添加依赖 在pom.xml中加入WebSocket相关依赖&#xff1a; <dependencies><!-- websocket --><dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-websocket</artifactId></dependency>…...

掌控授权的艺术:Laravel自定义策略模式深度解析

掌控授权的艺术&#xff1a;Laravel自定义策略模式深度解析 在现代Web应用开发中&#xff0c;权限管理是核心功能之一。Laravel框架通过其策略模式提供了一种优雅的方式来处理授权问题。然而&#xff0c;随着应用的复杂性增加&#xff0c;内置的策略可能不足以满足所有需求。这…...

Git操作指令(随时更新)

Git操作指令 一、安装git 1、设置配置信息&#xff1a; # global全局配置 git config --global user.name "Your username" git config --global user.email "Your email"# 显示颜色 git config --global color.ui true# 配置别名&#xff0c;各种指令都…...

SpringSecurity自定义登录方式

自定义登录&#xff1a; 定义Token定义Filter定义Provider配置类中定义登录的接口 自定义AuthenticationToken public class EmailAuthenticationToken extends UsernamePasswordAuthenticationToken{public EmailAuthenticationToken(Object principal, Object credentials) …...

黑神话悟空是什么游戏 黑神话悟空配置要求 黑神话悟空好玩吗值得买吗 黑神话悟空苹果电脑可以玩吗

《黑神话&#xff1a;悟空》的类型定义是一款单机动作角色扮演游戏&#xff0c;但实际体验后会发现&#xff0c;游戏在很多设计上采用了「魂like」作品的常见元素。根据个人上手试玩&#xff0c;《黑神话&#xff1a;悟空》的推进节奏比较接近魂类游戏&#xff0c;Boss战也更像…...

深入浅出消息队列----【延迟消息的实现原理】

深入浅出消息队列----【延迟消息的实现原理】 粗说 RocketMQ 的设计细说 RocketMQ 的设计这样实现是否有什么问题&#xff1f; 本文仅是文章笔记&#xff0c;整理了原文章中重要的知识点、记录了个人的看法 文章来源&#xff1a;编程导航-鱼皮【yes哥深入浅出消息队列专栏】 粗…...

npm提示 certificate has expired 证书已过期 已解决

在用npm新建项目时&#xff0c;突然发现报错提示 : certificate has expired 证书已过期 了解一下&#xff0c;在网络通信中&#xff0c;HTTPS 是一种通过 SSL/TLS 加密的安全 HTTP 通信协议。证书在 HTTPS 中扮演着至关重要的角色&#xff0c;用于验证服务器身份并加密数据传输…...

KEIL如何封装文件成lib

一、为什么要封装文件成LIB 提高编译效率 如果一份文件已经在整个工程中发挥出了我们期待的作用&#xff0c;现在想要将其封装成库&#xff0c;则可以在已经成型的工程文件中将不需要编译的文件从工程全部移出掉&#xff0c;只留下我们需要封装的文件&#xff0c;这样就可以提…...

KubeSphere 容器平台高可用:环境搭建与可视化操作指南

Linux_k8s篇 欢迎来到Linux的世界&#xff0c;看笔记好好学多敲多打&#xff0c;每个人都是大神&#xff01; 题目&#xff1a;KubeSphere 容器平台高可用&#xff1a;环境搭建与可视化操作指南 版本号: 1.0,0 作者: 老王要学习 日期: 2025.06.05 适用环境: Ubuntu22 文档说…...

Python实现prophet 理论及参数优化

文章目录 Prophet理论及模型参数介绍Python代码完整实现prophet 添加外部数据进行模型优化 之前初步学习prophet的时候&#xff0c;写过一篇简单实现&#xff0c;后期随着对该模型的深入研究&#xff0c;本次记录涉及到prophet 的公式以及参数调优&#xff0c;从公式可以更直观…...

Mac下Android Studio扫描根目录卡死问题记录

环境信息 操作系统: macOS 15.5 (Apple M2芯片)Android Studio版本: Meerkat Feature Drop | 2024.3.2 Patch 1 (Build #AI-243.26053.27.2432.13536105, 2025年5月22日构建) 问题现象 在项目开发过程中&#xff0c;提示一个依赖外部头文件的cpp源文件需要同步&#xff0c;点…...

以光量子为例,详解量子获取方式

光量子技术获取量子比特可在室温下进行。该方式有望通过与名为硅光子学&#xff08;silicon photonics&#xff09;的光波导&#xff08;optical waveguide&#xff09;芯片制造技术和光纤等光通信技术相结合来实现量子计算机。量子力学中&#xff0c;光既是波又是粒子。光子本…...

HashMap中的put方法执行流程(流程图)

1 put操作整体流程 HashMap 的 put 操作是其最核心的功能之一。在 JDK 1.8 及以后版本中&#xff0c;其主要逻辑封装在 putVal 这个内部方法中。整个过程大致如下&#xff1a; 初始判断与哈希计算&#xff1a; 首先&#xff0c;putVal 方法会检查当前的 table&#xff08;也就…...

搭建DNS域名解析服务器(正向解析资源文件)

正向解析资源文件 1&#xff09;准备工作 服务端及客户端都关闭安全软件 [rootlocalhost ~]# systemctl stop firewalld [rootlocalhost ~]# setenforce 0 2&#xff09;服务端安装软件&#xff1a;bind 1.配置yum源 [rootlocalhost ~]# cat /etc/yum.repos.d/base.repo [Base…...

用鸿蒙HarmonyOS5实现中国象棋小游戏的过程

下面是一个基于鸿蒙OS (HarmonyOS) 的中国象棋小游戏的实现代码。这个实现使用Java语言和鸿蒙的Ability框架。 1. 项目结构 /src/main/java/com/example/chinesechess/├── MainAbilitySlice.java // 主界面逻辑├── ChessView.java // 游戏视图和逻辑├──…...

Vue3中的computer和watch

computed的写法 在页面中 <div>{{ calcNumber }}</div>script中 写法1 常用 import { computed, ref } from vue; let price ref(100);const priceAdd () > { //函数方法 price 1price.value ; }//计算属性 let calcNumber computed(() > {return ${p…...

Windows电脑能装鸿蒙吗_Windows电脑体验鸿蒙电脑操作系统教程

鸿蒙电脑版操作系统来了&#xff0c;很多小伙伴想体验鸿蒙电脑版操作系统&#xff0c;可惜&#xff0c;鸿蒙系统并不支持你正在使用的传统的电脑来安装。不过可以通过可以使用华为官方提供的虚拟机&#xff0c;来体验大家心心念念的鸿蒙系统啦&#xff01;注意&#xff1a;虚拟…...

GraphRAG优化新思路-开源的ROGRAG框架

目前的如微软开源的GraphRAG的工作流程都较为复杂&#xff0c;难以孤立地评估各个组件的贡献&#xff0c;传统的检索方法在处理复杂推理任务时可能不够有效&#xff0c;特别是在需要理解实体间关系或多跳知识的情况下。先说结论&#xff0c;看完后感觉这个框架性能上不会比Grap…...