libpcap、struct、dpkt、scapy、pyshark五种方式获取pcap原始包的速度对比

最新推荐文章于 2024-06-16 16:19:59 发布
原创 最新推荐文章于 2024-06-16 16:19:59 发布 · 3.5k 阅读 · 7 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#struct #dpkt #scapy #pyshark #libpcap

本文对比了五种不同PCAP解析库的性能:libpcap、原始二进制读取、dpkt、scapy和pyshark。通过重复实验得出各库的平均处理时间,并据此评估它们的速度和易用性。 
from pylibpcap.pcap import rpcap
import struct
from dpkt.pcap import Reader
from scapy.all import rdpcap
#from scapy.all import PcapReader
import pyshark
from timeit import repeat
import time

fileName = "/Users/microfat/Downloads/new/N1N2.pcap"
def libpcap_test():
    for _, _, packet in rpcap(fileName):
        pass

def orig_test():
    string_data = None
    with open(fileName, 'rb') as fpcap:
        string_data = fpcap.read()

    packet_num = 0
    packet_data = []
    i =24
最低0.47元/天 解锁文章
python抓 -- 用wireshark抓、解析--scapyPyShark
weixin_45939263的博客
12-11 1万+
只捕获源地址为192.168.1.125且目的端口为80的流量:src host 192.168.1.125 && dst port 80。prn: 定义回调函数,使用lambda表达式来写回调函数(当符合filter的流量被捕获时,就会执行回调函数)只捕获某个MAC地址主机的交互流量:ether src host 00:87:df:98:65:d8。只捕获来源于某一IP的主机流量:src host 192.168.1.125。只捕获除80端口以外的其他端口流量:!只捕获80端口的流量:port 80。
[Python] 解析Pcap三个Python库(Dpkt Scapy Pyshark)应用实例
热门推荐
coderge's 优快云 Blog.
06-10 1万+
如果要处理pcap文件,python有仨库比较有名(如果有传输层的话) 含以下信息。 Pyshark Or Wireshark 如果只是想要所有packet的[src_IP, dst_IP, src_MAC, dst_MAC, Protocol, TimeStamp, Info]等信息,可以直接打开Wireshark导出这个操作也可以用Pyshark库完成。 使用 PySharkscapypcap 文件中读取字段并填充 CSV pcap 中的每个数据都呈现到 csv 文件的一行中。要提取的特
scapydpkt使用
qq_43157273的博客
05-15 1832
scapy官方文档 Scapy 下载 # (临时换pip源) pip install scapy (-i https://pypi.tuna.tsinghua.edu.cn/simple/) 导入 from scapy.all import * 读取pcap文件,进行相关操作 # 读取文件 # 整个文件:packets:scapy.plist.PacketList对象 <file_name: TCP:n UDP:n ICMP:n Other:n> packets = rdpca
Python使用scapydpkt并解析
培根芝士的专栏
10-24 8470
scapy是python中一个可用于网络嗅探的非常强大的第三方库,可以用它来做 packet 嗅探和伪造 packet。dpkt读取每个pcap里的内容,用isinstance判断是不是有IP的,再判断是属于哪个协议,对应的协议已经封装好API如果发现可以匹配某个协议API就输出来相关值。dpkt是一个python模块,可以对简单的数据创建/解析,以及基本TCP / IP协议的解析,速度很快。ls(IP) 命令列出ip协议头部字段格式,只要想查看哪个协议的参数,括号里就填哪个协议。
Pyhon引用Socket和Scapy实现稳定性测试
qq_36616956的博客
02-08 594
Pyhon引用Socket和Scapy实现稳定性测试
python绝技中对wireshark数据分析dpktscapy以及geoip2的使用方法。案例获取wireshark数据中的ip地址,并查询ip地址归属城市。
devil8123665的博客
03-28 922
dpkt #!C:\Python37 # -*- coding:utf-8 -*- import dpkt import socket from scapy.all import * import geoip2.database import optparse def PrintPcap_dpkt(filename): iplist = [] try: ...
arp.rar_arp抓工具_libpcap_libpcap qt_pcap arp_qt 抓
09-19
标题中的“arp.rar_arp抓工具_libpcap_libpcap qt_pcap arp_qt 抓”揭示了我们讨论的主题是关于一个基于libpcap库,并使用Qt框架开发的ARP(Address Resolution Protocol)网络数据捕获工具。这个工具主要用于...
利用Python库Scapy解析pcap文件的方法
09-19
**pcap文件**是一种标准的数据捕获文件格式,由Libpcap项目定义,用于存储网络流量数据。这种文件格式被广泛应用于网络监控、数据分析和安全审计等领域。许多工具如Wireshark、Tcpdump等都可以生成或读取pcap文件...
java解析Pcap文件获取五元组(可执行)
07-13
Pcap(Packet Capture)文件是这种分析中的常见格式,它记录了网络接口上的原始数据。本教程将深入探讨如何使用Java解析Pcap文件,以提取其中的五元组信息。 五元组是网络数据分析中的基本概念,它由源IP地址、...
python 抓保存为pcap文件并解析的实例
01-20
首先是抓,使用scapy模块, sniff()函数 在其中参数为本地文件路径时,操作为打开本地文件 若参数为BPF过滤规则和回调函数,则进行Sniff,回调函数用于对Sniff到的数据进行处理 import os from scapy.all import * pkts=[] count=0 pcapnum=0\nfilename='' def test_dump_file(dump_file): print Testing the dump file... if os.path.exists(dump_file): print dump fie %s found.
Python中用于分析的模块--dpkt模块
04-12
这个东西可能很少有人用到,但毋庸置疑,它是个不好找的东西,好不容易下到,跟大家分享下,如果有需要dpkt库的,可以直接跟我联系。
基于Python的pypcap网络抓与数据解析示例项目_使用libpcap-dev底层库实现跨平台网络嗅探结合dpkt进行以太网帧IP数据TCPUDP协议解析含实.zip
最新发布
09-11
该项目通过Python语言的简洁性和灵活性,为用户提供了一种简单而强大的方式来监控和分析网络流量。在实际应用中,网络抓和数据解析对于网络管理员而言至关重要,它们能够帮助管理员检测网络异常,分析网络性能,...
Python3+pyshark捕获数据并保存为文件
weixin_34018202的博客
10-10 2800
一、直接使用wireshark捕获数据并保存为文件 可以使用wireshark通过图形界面的操作来实现捕获数据并保存为文件。 wireshark默认捕获的数据保存为临时文件,如果最后退出时不选择保存那么临时文件将会被删除。 可以在“菜单栏----捕获----选项----输出”窗口进行配置,指示wireshark直接将捕获结果保存为文件。 文件----数据要保存到的文件 输出格式----数据...
python拦截数据_Python3+pyshark捕获数据并保存为文件
weixin_39967598的博客
12-02 1352
一、直接使用wireshark捕获数据并保存为文件可以使用wireshark通过图形界面的操作来实现捕获数据并保存为文件。wireshark默认捕获的数据保存为临时文件,如果最后退出时不选择保存那么临时文件将会被删除。可以在“菜单栏----捕获----选项----输出”窗口进行配置,指示wireshark直接将捕获结果保存为文件。文件----数据要保存到的文件输出格式----数据保存成的...
Pyshark——安装、解析pcap文件
计算机硕士的博客
06-16 5891
Pyshark——安装、解析pcap文件。
python用pyshark
weixin_43842848的博客
05-31 1560
pyshark
python使用pyshark
Liquor的博客
01-02 2651
import pyshark class wireshark_analysis_script(): # 此函数的作用是封装一下pyshark.FileCapture def read_packets_from_file(self, packets_file_path, tshark_path, display_filter): packets_file_obj = pyshark.FileCapture(input_file=packets_file_path, tsha
JavaScript的时间对象总结
Eternity_matt的博客
10-11 511
一、 Date对象的构造函数 创建一个日期对象:new Date() 二、 实例化 Date对象 创建一个新Date对象的唯一方法是通过new 操作符: <script> let now = new Date(); </script> 三、 语法和使用规则 1.没有参数 new Date() 如果没有输入任何参数,则Date的构造器会依据系统设置的当前时间 (也就是执行JavaScript的客户端电脑所设置的时间)来创建一个Date对...
Linux libpcap解析pcap文件提取UDP数据内容,获取udp的时间戳
08-13
在Linux环境下使用`libpcap`解析`pcap`文件并提取UDP数据内容以及获取时间戳是一项常见的网络数据处理任务。`libpcap`库提供了强大的API来读取和处理捕获的数据,并支持多种网络协议的解析。 ### 读取pcap文件并解析UDP数据 首先,使用`pcap_open_offline()`函数打开pcap文件,然后通过`pcap_loop()`或`pcap_next_ex()`函数遍历文件中的数据。在回调函数中,可以解析以太网帧、IP头部和UDP头部以提取所需的信息。 以下是一个简单的C语言代码示例,展示如何读取pcap文件、解析UDP数据,并获取时间戳: ```c #include <pcap.h> #include <stdio.h> #include <netinet/if_ether.h> // 用于以太网头部 #include <netinet/ip.h> // 用于IP头部 #include <netinet/udp.h> // 用于UDP头部 // 回调函数,处理每个数据 void packet_handler(u_char *param, const struct pcap_pkthdr *header, const u_char *pkt_data) { // 获取以太网头部 struct ether_header *eth_hdr = (struct ether_header *)pkt_data; // 检查是否是以太网类型为IPv4 if (ntohs(eth_hdr->ether_type) == ETHERTYPE_IP) { // 获取IP头部 struct ip *ip_hdr = (struct ip *)(pkt_data + sizeof(struct ether_header)); // 检查是否是UDP协议 if (ip_hdr->ip_p == IPPROTO_UDP) { // 获取UDP头部 struct udphdr *udp_hdr = (struct udphdr *)((u_int8_t *)ip_hdr + (ip_hdr->ip_hl << 2)); // 获取UDP数据 int payload_length = ntohs(udp_hdr->uh_ulen) - sizeof(struct udphdr); const u_char *payload = (const u_char *)(udp_hdr + 1); // 打印时间戳 printf("Timestamp: %ld.%09ld\n", header->ts.tv_sec, header->ts.tv_usec * 1000); // 转换为纳秒 // 打印UDP数据的源和目的端口 printf("UDP Packet: Source Port = %d, Destination Port = %d\n", ntohs(udp_hdr->uh_sport), ntohs(udp_hdr->uh_dport)); // 打印UDP数据 printf("UDP Payload (%d bytes):\n", payload_length); for (int i = 0; i < payload_length; i++) { printf("%02X ", payload[i]); if ((i + 1) % 16 == 0) printf("\n"); } printf("\n"); } } } int main(int argc, char *argv[]) { char *filename = "example.pcap"; // 替换为你的pcap文件路径 char errbuf[PCAP_ERRBUF_SIZE]; // 打开pcap文件 pcap_t *handle = pcap_open_offline(filename, errbuf); if (handle == NULL) { fprintf(stderr, "Couldn't open device: %s\n", errbuf); return 1; } // 开始读取数据 if (pcap_loop(handle, 0, packet_handler, NULL) < 0) { fprintf(stderr, "pcap_loop failed: %s\n", pcap_geterr(handle)); return 1; } // 关闭pcap pcap_close(handle); return 0; } ``` ### 时间戳处理 在`libpcap`中,`struct pcap_pkthdr`结构体中的`ts`字段表示时间戳,其类型为`struct timeval`,含两个成员:`tv_sec`(秒)和`tv_usec`(微秒)。为了获得纳秒级精度,可以将`tv_usec`乘以1000,从而将其转换为纳秒[^2]。 ### 编译和运行 在Ubuntu系统上,确保安装了`libpcap-dev`开发,然后使用以下命令编译和运行程序: ```bash sudo apt-get install libpcap-dev gcc -o pcap_udp_parser pcap_udp_parser.c -lpcap ./pcap_udp_parser ``` ### 错误处理与纳秒级支持 如果遇到“未知文件格式”错误,可能是由于文件格式不兼容或文件头损坏。可以尝试使用Wireshark或其他工具将文件转换为标准的pcap格式。此外,如果文件是纳秒级时间戳格式,确保`libpcap`版本支持该格式。某些旧版本的`libpcap`可能无法正确解析纳秒级时间戳,因此建议使用最新版本。 --- ###
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值