因工作需要,在列车上用wireshark抓包存储了一段数据,文件格式是.pcapng。使用wireshark可以很方便的进行简单的数据查看,但是想提取某几个特定的comID数据进行数据分析处理就难了。这里可以使用python来对pcapng数据进行解析。
参考资料
PCAP 下一代转储文件格式 (winpcap.org)
PCAPNG文件格式详解——这一篇就够了!-CSDN博客
网络分析笔记01:pcapng格式的整体解包_网络协议分析-CSDN专栏
一.安装pcapng库
pin install python-pcapng
安装完成后,可通过pin list查看已安装的库及其版本信息。
在安装pcapng库之前,走了很多弯路,安装了很多其他的库,像是pyshark,dpkt。不知道只安装pcapng有没有问题。
二.pcapng解析
1.结构
pcapng文件的最小单位是“block块”,其结构如下:
块有很多种类型,我手里的这个pcapng文件里有4种类型的块,分别是节头块,接口描述块,增强分组块和接口统计块。
节头块格式如下:
其中可选字段格式:
接口描述块格式:
接口统计块格式:
增强分组块格式:
我们要处理的数据都在增强分组块中,对增强分组块中的分组数据进行解析,可以获取目标地址MAC,源地址MAC,根据类型判断是IP数据,还是ARP或者RARP:
我手里的数据经解析是IP数据,对上图的IP数据进一步解析,获得源IP地址,目标IP地址,协议:
协议解析为UDP,对上图的数据进一步解析,获得源端口号,目标端口号:
接下来的数据用的是TRDP协议,对上图中的数据进一步解析,可以获得通信端口和应用数据等,就可以进一步提取自己需要的信息进行分析了:
2.代码
1)解析块
2)解析节头块
3)解析接口描述块
4)解析增强分组块
5)解析链路层
6)解析IP协议
7)解析UDP协议
8)解析TRDP协议
到此这篇pcap文件格式怎么看(pcapng文件格式)的文章就介绍到这了,更多相关内容请继续浏览下面的相关 推荐文章,希望大家都能在编程的领域有一番成就!
版权声明:
本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。
如若内容造成侵权、违法违规、事实不符,请将相关资料发送至xkadmin@xkablog.com进行投诉反馈,一经查实,立即处理!
转载请注明出处,原文链接:https://www.xkablog.com/haskellbc/26501.html