深入理解 `.pcapng` 文件 ——Scapy 和 Pyshark

原创 已于 2025-04-29 17:10:25 修改 · 1.2k 阅读 · 15 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络 #服务器 #数据库 #pcapng #流量

于 2025-04-26 00:37:17 首次发布

1. 什么是 pcapng 文件?

.pcapng(Packet Capture Next Generation)是一种现代网络数据包捕获文件格式,是 .pcap 格式的升级版,由 Wireshark 社区开发。它以模块化块(Block)结构存储网络数据包,解决了 .pcap 在元数据支持、文件大小限制等方面的不足,广泛用于网络分析、流量监控和安全研究。

1.1 核心特性

  • 数据包存储:记录原始数据包,包括头部(时间戳、长度等)和有效载荷(payload)。
  • 元数据支持:存储捕获环境信息(如接口、设备、注释),适合复杂场景。
  • 多接口捕获:支持从多个网络接口(如 Wi-Fi、BLE、Zigbee)捕获数据,适应 IoT 网络。
  • 扩展性:通过自定义块(Custom Block)支持用户定义数据。
  • 跨平台兼容:支持 Wireshark、tcpdump、Scapy、Pyshark 等工具。

1.2 与 .pcap 的对比

特性 .pcap .pcapng
开发时间 较早(libpcap 标准) 现代(Wireshark 社区)
结构 简单,固定头部 + 数据包 模块化块结构
元数据 有限(仅时间戳、长度) 丰富(接口、注释、统计等)
文件大小 最大 2GB 无限制
多接口支持 不支持 支持
工具兼容性 广泛 现代工具(如 Wireshark)支持

在 IoT 流量指纹和分类研究中,.pcapng 是首选格式,因为它能记录复杂网络环境(多设备、多协议)的详细信息,支持提取设备指纹所需的多样化特征。

2. pcapng 文件的结构

理解 .pcapng 文件的模块化结构是解析和特征提取的基础。以下是详细的结构分析。

2.1 总体结构

  • 文件由一系列**块(Blocks)**组成,每个块包含:
    • 块类型(Block Type):标识块的功能(如数据包、接口描述)。
    • 块长度(Block Total Length):块的总字节数。
    • 块内容(Block Body):具体数据。
    • 可选填充:确保字节对齐。
  • 块之间可以嵌套,文件以 Section Header Block 开始,可能包含多个捕获会话。

2.2 主要块类型

以下是 .pcapng 文件的核心块类型及其在 IoT 研究中的作用:

  1. Section Header Block (SHB)

    • 作用:定义文件的基本信息,标志捕获会话的开始。
    • 内容
      • 文件格式版本(如 1.0)。
      • 字节序(大端/小端)。
      • 捕获工具信息(名称、版本)。
      • 操作系统、硬件信息。
    • IoT 应用:提供捕获环境上下文(如 IoT 网关的操作系统),有助于分析数据来源。

  2. Interface Description Block (IDB)

    • 作用:描述捕获数据包的网络接口。
    • 内容
      • 接口类型(以太网、Wi-Fi、BLE 等)。
      • 时间戳分辨率(微秒、纳秒)。
      • 捕获过滤器(如 BPF 规则)。
      • 接口名称、描述。
    • IoT 应用:IoT 设备可能使用多种协议,IDB 帮助区分不同接口的流量。

  3. Enhanced Packet Block (EPB)

    • 作用:存储单个数据包,是特征提取的核心块。
    • 内容
      • 时间戳(精确到纳秒)。
      • 数据包长度(捕获长度和原始长度)。
      • 数据包内容(链路层、IP 层、传输层、应用层)。
      • 可选元数据(如丢包计数、接口 ID)。
    • IoT 应用:EPB 提供包大小、时间间隔、协议等特征的基础数据。

  4. Simple Packet Block (SPB)

    • 作用:简化版数据包块,仅存储数据包内容,无时间戳等元数据。
    • IoT 应用:因缺乏时间戳,SPB 在 IoT 研究中较少使用。

  5. Name Resolution Block (NRB)

    • 作用:存储名称解析信息(如 IP 到域名的映射)。
    • 内容:DNS 记录、主机名。
    • IoT 应用:分析 IoT 设备与云服务器(如 AWS、Google)的通信目标。

  6. Custom Block (CB)

    • 作用:存储用户自定义数据。
    • 内容:任意数据(如设备 ID、实验标签)。
    • IoT 应用:标记 IoT 设备类型或实验条件,便于分类。

  7. Interface Statistics Block (ISB)

    • 作用:记录接口的统计信息。
    • 内容:捕获数据包总数、丢包数、捕获时间范围。
    • IoT 应用:评估捕获质量,特别是在高流量 IoT 网络中。

2.3 文件结构示例

[Section Header Block]
  [Interface Description Block 1]
  [Interface Description Block 2]
  [Enhanced Packet Block 1]
  [Enhanced Packet Block 2]
  ...
  [Interface Statistics Block]
[Section Header Block]  // 第二个捕获会话
  ...

2.4 结构对特征提取的重要性

  • EPB:提供数据包的原始数据和时间戳,是提取时间、流量、协议特征的基础。
  • IDB 和 CB:帮助区分不同 IoT 设备的流量,标记设备类型。
  • SHB 和 NRB:提供捕获环境和目标服务器信息,辅助上下文分析。

3. pcapng 文件的生成

3.1 捕获工具

.pcapng 文件通过网络捕获工具生成,常用工具包括:

  • Wireshark:图形化界面,适合手动捕获和分析。
  • tcpdump:命令行工具,适合自动化捕获。
  • Tshark:Wireshark 的命令行版,适合批量处理。
  • Scapy:Python 库,支持捕获和生成 .pcapng
  • Pyshark:基于 Tshark 的 Python 封装,适合快速开发。

3.2 捕获流程

  1. 选择接口:确定捕获的网络接口(如 eth0wlan0)。
  2. 设置过滤器:使用 Berkeley Packet Filter (BPF) 规则筛选流量(如 tcp port 80host 192.168.1.100)。
  3. 启动捕获:运行工具,记录数据包。
  4. 保存文件:保存为 .pcapng 格式。

3.3 IoT 场景中的捕获

  • 多协议支持:IoT 设备可能使用 Wi-Fi、BLE、Zigbee 等,需选择支持多种协议的工具(如 Wireshark)。
  • 过滤优化:IoT 网络流量复杂,建议用 BPF 筛选特定设备或协议,减少文件大小。
  • 时间同步:确保捕获设备时间同步,精确时间戳对时间序列特征至关重要。

3.4 示例:使用 tcpdump 捕获

# 捕获 wlan0 接口的 MQTT 流量(端口 1883),保存为 iot_traffic.pcapng
sudo tcpdump -i wlan0 port 1883 -w iot_traffic.pcapng

4. 特征提取:全面覆盖 IoT 流量指纹

特征提取是 IoT 流量指纹和分类研究的核心。以下是全面的特征类别,涵盖时间、流量、协议、内容、统计、行为等多个维度,适用于 .pcapng 文件的分析。

4.1 特征类别及提取方法

4.1.1 时间相关特征

时间特征反映流量的时间模式,是 IoT 设备指纹的重要组成部分。

  • 包到达时间戳(Timestamp):每个数据包的捕获时间。
  • 包间时间间隔(Inter-Arrival Time, IAT):相邻数据包的时间差。
  • 时间窗口统计
    • 每秒/分钟的数据包数量。
    • IAT 的均值、方差、最大值、最小值。
  • 周期性模式:检测周期性通信(如心跳包)。
  • IoT 应用:IoT 设备常有固定时间间隔的通信(如智能灯的周期性状态更新)。

提取方法

  • 从 EPB 的时间戳字段提取。
  • 使用 Scapy 或 Pyshark 计算 IAT 和统计特征。

4.1.2 流量相关特征

流量特征描述数据包的大小和方向,反映设备的数据传输模式。

  • 包大小(Packet Size):数据包的总长度(字节)。
  • 上下行比例:上行(客户端到服务器)和下行(服务器到客户端)数据量的比例。
  • 流量速率:单位时间内的数据量(字节/秒)。
  • 包大小分布:包大小的直方图、均值、方差。
  • IoT 应用:不同 IoT 设备有独特的包大小模式(如摄像头产生较大的视频流)。

提取方法

  • 从 EPB 的长度字段提取包大小。
  • 根据源/目标 IP 区分上下行。

4.1.3 协议相关特征

协议特征描述网络通信的协议栈和端口使用情况。

  • 协议类型:链路层(如 Wi-Fi)、网络层(如 IP)、传输层(如 TCP、UDP)、应用层(如 MQTT、HTTP)。
  • 端口号:源端口和目标端口。
  • 协议比例:TCP、UDP、ICMP 等协议的包数占比。
  • 协议序列:数据包的协议转换模式(如 DNS → TCP → HTTP)。
  • IoT 应用:IoT 设备常使用特定协议(如 MQTT、CoAP)。

提取方法

  • 从 EPB 的数据包内容解析协议字段。
  • 使用 Pyshark 的 highest_layer 或 Scapy 的协议检查。

4.1.4 内容相关特征

内容特征分析应用层数据,需注意加密流量的限制。

  • 头部字段:HTTP 请求头、DNS 查询、MQTT 主题。
  • 有效载荷大小:应用层数据的字节数。
  • 关键字:特定协议的标志性字符串(如 HTTP 的“GET”)。
  • IoT 应用:分析非加密协议(如 MQTT)的主题或消息类型。

提取方法

  • 从 EPB 的有效载荷提取,需解码(如 UTF-8)。
  • 对加密流量,聚焦头部长度或模式。

4.1.5 统计相关特征

统计特征对流量模式进行聚合分析。

  • 包数统计:总包数、每协议包数、每 IP 包数。
  • 流量统计:总数据量、每协议数据量。
  • 突发性(Burstiness):短时间内高流量的时间窗口。
  • 熵(Entropy):包大小或 IAT 的信息熵,反映流量随机性。
  • IoT 应用:统计特征可区分设备行为(如摄像头的高突发性流量)。

提取方法

  • 使用 Pandas 对提取的特征进行聚合计算。
  • 计算熵需要信息论公式。

4.1.6 行为相关特征

行为特征分析设备的通信模式和交互目标。

  • 通信目标:目标 IP、域名、服务器地理位置。
  • 会话特征:TCP 会话的持续时间、包数、数据量。
  • 交互模式:设备是否主动发起连接、响应频率。
  • IoT 应用:不同设备与云服务器的交互模式不同(如智能音箱频繁查询 DNS)。

提取方法

  • 从 NRB 提取域名信息。
  • 分析 TCP 会话的 SYN/ACK 包。

4.1.7 网络拓扑特征

拓扑特征描述设备在网络中的位置和交互。

  • 邻居设备:与设备通信的本地 IP/MAC 地址。
  • 网关交互:设备与网关的通信频率。
  • 广播/多播:广播包或组播包的比例。
  • IoT 应用:拓扑特征可推断设备角色(如传感器 vs. 控制器)。

提取方法

  • 从 EPB 的源/目标 MAC 地址提取。
  • 分析 ARP 或 IGMP 包。

4.1.8 加密流量特征

对于加密流量(如 TLS),可提取不可加密的元数据。

  • TLS 握手信息:证书信息、加密套件、TLS 版本。
  • 加密包模式:包大小和 IAT 的序列模式。
  • IoT 应用:加密流量占 IoT 通信的大部分,模式分析至关重要。

提取方法

  • 从 EPB 的 TLS 层提取握手字段。
  • 使用 Scapy 或 Pyshark 解析 TLS 包。

4.2 特征提取的重要性

  • 区分设备:不同 IoT 设备(如智能灯、摄像头)在时间、流量、协议等方面有独特模式。
  • 分类任务:特征输入机器学习模型,区分设备类型或检测异常行为。
  • 鲁棒性:多维度特征(时间、协议、行为等)提高分类准确性,适应加密流量。

5. 使用 Scapy 探索和处理 .pcapng

Scapy 是一个强大的 Python 网络分析库,支持解析、生成和修改 .pcapng 文件,特别适合深度协议解析和特征提取。

5.1 安装 Scapy

pip install scapy

5.2 特征提取代码示例

以下是使用 Scapy 提取全面特征的代码,覆盖上述所有类别。

5.2.1 综合特征提取

from scapy.all import rdpcap
import pandas as pd
from collections import Counter
import math
import matplotlib.pyplot as plt

# 读取 .pcapng 文件
packets = rdpcap('iot_traffic.pcapng')

# 初始化特征列表
features = []
protocol_counter = Counter()
packet_sizes = []
timestamps = []
src_ips = []
dst_ips = []
ports = []
sessions = {
   
   }  # 跟踪 TCP 会话

for pkt in packets:
    feature = {
   
   
        'timestamp': pkt.time,  # 时间戳
        'length': len(pkt),    # 包大小
        'src_ip': pkt['IP'].src if 'IP' in pkt else None,
        'dst_ip': pkt['IP'].dst if 'IP' in pkt else None,
        'protocol': pkt['IP'].proto if 'IP' in pkt else None,
        'src_port': pkt['TCP'].sport if 'TCP' in pkt else (pkt['UDP'].sport if 'UDP' in pkt else None),
        'dst_port': pkt['TCP'].dport if 'TCP' in pkt else (pkt['UDP'].dport if 'UDP' in pkt else None),
        'is_mqtt': 'MQTT' in pkt,  # 检查 MQTT 协议
        'is_http': 'HTTP' in pkt,  # 检查 HTTP 协议
        'payload_size': len(pkt['Raw'].load) if 'Raw' in pkt else 0
    }
    
    # 统计协议
    if 'IP'
最低0.47元/天 解锁文章
网络分析笔记01:pcapng格式的整体解包
snmplink的博客
08-19 9232
本文首先介绍对pcapng格式进行介绍,然后讲解pcapng的整体结构,并使用Python语言进行块(block)的解包。在此需要说明的是,本文是为了能够深入对pcapng格式进行分析,所以不使用python的scapy库,网络上的数据是以流的方式进行数据传输的,我们从网络上抓包后,需要进行数据分析,所以需要对数据进行存储,pcapng就是用于存储的格式。pcnpng来源于IETF(互联网工程工作组),是pcap的新一代格式,相比较于原有的pcap格式,更具有逻辑性可扩展性。
使用Wireshark将pcapng文件转为pcap文件
Afison的博客
01-19 2493
pcap(Packet Capture)pcapng(Packet Capture Next Generation)是网络数据包捕获文件格式。pcap文件是一种经典的网络数据包捕获文件格式。它采用二进制格式存储,可以包含捕获到的网络数据包的原始二进制数据以及相关的元数据信息,如时间戳、协议类型、包长度等。pcap文件网络分析安全领域广泛应用,常用于存储、分析重放网络流量pcapng文件是一种新一代的网络数据包捕获文件格式,引入了更丰富的功能扩展性。
.pcapng文件格式.pcap文件格式
书伯的博客
11-04 1万+
原网页 本文为机翻后人工修饰了一些,总结一句话就是 .pcapng.pcap的升级版 pcap捕获文件格式自计算机网络早期以来一直是通用的包捕获格式。 几乎所有捕获工具都支持pcap格式。 虽然供应商多年来已经创建了新的格式,但大多数工具支持转换为pcap格式。 虽然pcap今天仍然使用,但它确实有一些限制,使其他格式更具吸引力。 一种名为“pcapng”的新格式已经开发多年了。 pcapng的目标是解决pcap的一些不足,并为未来创建一种灵活的格式。 CloudShark的pcapng支持将pcap.
PCAPNG文件格式详解——这一篇就够了!
m0_53887937的博客
10-22 1万+
现今流行数据包格式pcapng详细介绍。
流量分析(dump.pcapng
weixin_72466436的博客
04-02 2532
流量分析
如何解析wireshark的pcapng文件
12-26
为了高效地解析 `.pcapng` 文件中的特定字段(比如提到的 comID),可以考虑采用专门为此设计的第三方库——`pyshark` `dpkt` 都是非常不错的选择[^1]。 ```python import pyshark def extract_comid_from_...
PCAPNG获取网站更目录内容
05-25
这可以通过多种方式实现,其中一种方法是借助 Python 脚本配合库如 `scapy` 或专门用于处理 pcap/pcapng 文件的第三方模块 `pyshark` 完成。 这里提供了一个简单的基于 `pyshark` 的脚本来展示如何读取 `.pcapng` ...
基于Pythontshark的USB流量分析工具
“附赠资源.docx”可能涵盖USB协议详解、HID规范文档、典型攻击案例分析、法律合规建议等内容,帮助用户深入理解合法使用该工具。 综上所述,该项目构建了一个集数据采集、协议解析、行为重建于一体的自动化USB...
【PCAP文件结构精通指南】:深度解析并掌握关键应用
![【PCAP文件结构精通指南】:深度解析并掌握关键应用]...通过对PCAP文件结构的深入分析,本文详细介绍了PCAP文件头部数据包记录的组成,以及数据的存储
pcapng格式文件解析笔记
weixin_48943264的博客
07-22 3355
因工作需要,在列车上用wireshark抓包存储了一段数据,文件格式是.pcapng。使用wireshark可以很方便的进行简单的数据查看,但是想提取某几个特定的comID数据进行数据分析处理就难了。这里可以使用python来对pcapng数据进行解析。在安装pcapng库之前,走了很多弯路,安装了很多其他的库,像是pyshark,dpkt。块有很多种类型,我手里的这个pcapng文件里有4种类型的块,分别是节头块,接口描述块,增强分组块接口统计块。pcapng文件的最小单位是。二.pcapng解析。
pcapng:PCAP下一代文件格式规范
05-12
OPSAWG草案 这是各个Internet草案的工作区域。 PCAP捕获文件格式 下一代PCAP(pcapng)捕获文件格式 建立草稿 可以使用make构建草稿的格式化文本HTML版本。 $ make 这需要您安装必要的软件。 请参阅。 贡献 请参阅。 pcappcapng规范是使用的超集kramdown的kramdown-rfc2629扩展编写的。 这允许xml2rfc格式的RFCI-D以扩展的Markdown编写并转换为xml2rfc。 Xml2rfc最初是在RFC 2629中定义的; 版本2在RFC 7749中记录,版本3在RFC 7991中记录。
wireshark捕获选项不能用_wireshark文件及数据包操作
weixin_39523529的博客
11-23 1378
概述在使用wireshark中可能会遇到分割文件、合并文件、导出某个包等各种情景,熟练使用这些操作可以让分析工作事半功倍文件操作文件分割打开分割后的单个文件,可以通过File|File Set|List Files可以看出一共分割了多少文件(目录下必须存在分割后的文件才行)。通过单击分割后的文件可以迅速切换到对应的分割文件。如果使用了显示过滤器,此过滤器会作用到每个打开的文件上。capinfos ...
MATLAB-读取Wireshark.pcapng数据
qq_57320111的博客
10-24 2301
因为我们FPGA发送的是MAC帧,每一帧的数据帧长是固定的,帧头固定为3C-52-82-38-B0-25,选择3C右键设为起点,并且在16进制下选择帧长148,可以看到BES显示的数据与wireshark是一样的。这个软件不能直接打开,也不能把pcapng文件直接拖到图标上打开。需要右键选择管理员身份启动,打开之后选择左上角文件,然后选择打开。,观察数据可以发现,wireshark以及BES文件中的数据大小都是一样的。三、因为wireshark中我们看的就是十六进制类型,所以也选择等长帧16进制。
pcapng与pcap的区别及转换方法
u010830462的博客
09-08 2400
3.使用wireshark自带软件 tshark -F pcap -r XXX.pcapng -w XXX.pcap。1.使用tcpdump软件进行转换tcpdump -r XXX.pcapng -w XXX.pcap。pcapng是新一代抓包格式,通过使用标准化块字段来实现可扩展性需求,并不是所有工具都支持解析。2.使用wireshark打开pcapng文件后,点击另存为pcap文件。pcap 是早期网络抓包格式,目前所了解的抓包工具都支持pcap;
pcapng 文件转 pcap 文件
challenglistic的博客
02-16 2145
pcapng 文件转 pcap 文件
wireshark的pcapng文件格式
热门推荐
yang_chen_shi_wo的博客
07-01 4万+
在linux平台下,用wireshark-1.12.2进行抓包并保存,文件格式是.pcapng格式。由于项目需求,需要搞清楚其文件格式。通过将保存的.pcapng文件用UltraEdit打开,观察其二进制形式。如下图: 参考文献: 简洁的Pcap文件格式 : 原文博客地址:http://blog.csdn.net/koudaidai/article/details/7673084 C
攻防世界_Crypto_工业协议分析2
Altering_Ji的博客
03-28 3514
攻防世界crypto类高手进阶区的题目工业协议分析2,用wireshark打开附件
matlab 读取wireshark pcapng数据
weixin_43675988的博客
01-05 2990
matlab 读取wireshark pcapng 数据
网络空间安全江苏省赛数据分析与取证 -attack.pacapng
我是网络安全兼技能大赛工程师,专注网络安全技术学习与技能大赛实战!持续分享最新的技术文章,帮你少走弯路,一起在技术赛道上进步~
12-22 4456
2. 继续查看数据包文件 attack.pacapng,分析出黑客扫描了哪些端口,并将全部的端口作 为 FLAG(形式:[端口名 1,端口名 2,端口名 3…通过分析端口,因为黑客都是扫描常用端口的。
可以提取.pcapng文件数据的取证工具有哪些?
最新发布
07-15
<think>我们正在讨论如何从.pcapng文件中提取数据,特别是数字取证工具。根据引用,用户提到了Wiresharkbinwalk等工具。因此,我们将重点介绍这些工具以及其他相关工具。 目标:列举并简要描述可以提取.pcapng文件数据的数字取证工具。 步骤: 1. 首先,.pcapng是Wireshark默认的保存格式,因此Wireshark是首选工具。 2. 其他工具可能也支持.pcapng格式,因为它是pcap的下一代格式,很多工具已经兼容。 3. 我们将介绍几种工具,包括命令行图形界面工具。 工具列表: 1. Wireshark(图形界面命令行tshark) 2. tshark(Wireshark的命令行版本) 3. NetworkMiner(专门用于网络取证,可以提取文件等) 4. Xplico(网络取证分析工具,支持多种协议) 5. binwalk(用于分析二进制文件,但也可以从pcap中提取嵌入的文件) 6. Scapy(Python库,可以编程提取) 7. CapLoader(商业工具,但提供免费试用) 8. Moloch(大规模捕获索引网络流量) 注意:引用中提到了使用Wireshark分析attack.pcapng,以及使用binwalk提取文件(binwalk -eM attack.pcapng)[^3]。因此,这些工具是经过验证的。 我们将逐一介绍这些工具,并说明它们如何用于提取.pcapng文件内容。 注意:用户的问题是关于“提取.pcapng文件数据”的取证工具,所以重点在提取数据(如文件、对象等)而不仅仅是分析流量。 回答结构: 1. 介绍Wiresharktshark 2. 介绍NetworkMiner 3. 介绍Xplico 4. 介绍binwalk 5. 其他工具(Scapy, Moloch等)简要说明 最后,生成相关问题。</think>### 数字取证工具提取.pcapng文件数据指南 .pcapng是Wireshark默认的高级数据包存储格式,以下专业工具可高效提取其内容: #### 一、专业取证工具推荐 1. **Wireshark/tshark**(首选工具)[^2] ```bash # 提取HTTP传输文件 tshark -r attack.pcapng --export-objects http,./output_dir # 提取FTP文件传输 tshark -r attack.pcapng -Y "ftp-data" -T fields -e data > ftp_files.bin # 提取特定TCP流数据(如引用[3]的flag.zip) tshark -r attack.pcapng -z "follow,tcp,raw,5" > stream5.bin ``` 2. **NetworkMiner**(自动文件重组) - 自动识别100+文件类型(ZIP/PDF/图片等) - 可视化会话关系图(如图) ```mermaid graph LR A[攻击者IP] -->|扫描端口| B(目标服务器) A -->|上传木马| C[Web服务器] C -->|下载| D[flag.zip] ``` 3. **Xplico**(协议级提取) - 支持深度重组:HTTP/FTP/SMTP等协议 - Web界面管理提取结果 - 特别适合批量处理(如引用[3]的多flag提取) 4. **Binwalk**(嵌入式文件提取)[^3] ```bash # 递归提取所有嵌入文件 binwalk -eM attack.pcapng # 验证文件完整性 binwalk -W attack.pcapng | grep 'ZIP archive' ``` #### 二、编程接口提取 1. **Python + Scapy**(灵活处理) ```python from scapy.all import * # 提取PNG图片文件 png_pkts = rdpcap("attack.pcapng") with open("image.png", "wb") as f: for pkt in png_pkts: if Raw in pkt and pkt[Raw].load.startswith(b'\x89PNG'): f.write(pkt[Raw].load) ``` 2. **Libpcap库**(C/C++开发) ```c pcap_t *handle = pcap_open_offline("attack.pcapng", errbuf); while ((res = pcap_next_ex(handle, &header, &pkt_data)) >= 0) { if (is_zip_header(pkt_data)) { // 检测ZIP文件头 extract_zip(pkt_data, header->len); } } ``` #### 三、高级取证技巧 1. **加密流量提取** ```bash # 使用TLS密钥解密 tshark -r attack.pcapng -o "tls.keylog_file:sslkeys.log" \ --export-objects smtp,./decrypted_emails ``` 2. **分片重组** ```python # IP分片重组(Scapy实现) frags = IPdefrag([pkt for pkt in pkts if pkt[IP].id == 0x1234]) if frags.fully_assembled: open('reassembled.exe', 'wb').write(frags.assembled_payload) ``` 3. **元数据分析** ```bash # 提取所有DNS查询记录 tshark -r attack.pcapng -T fields -e dns.qry.name > dns_log.txt ``` > **操作建议**:对于大文件传输(如引用[3]的flag.zip),先用`tcp.len > 1400`过滤大尺寸分组提升效率。 #### 四、商业工具补充 | 工具名称 | 优势 | 适用场景 | |---------|------|---------| | **EnCase Forensic** | 司法级证据链管理 | 法律取证 | | **FTK Imager** | 内存与磁盘镜像关联 | 高级持续性威胁分析 | | **Suricata** | 实时提取网络文件 | IDS/IPS系统集成 |
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

爱看烟花的码农

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值