python+tshark实现按数据流拆解数据包

原创 已于 2024-10-29 11:29:55 修改
· 214 阅读 · 0 ·
版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#python #开发语言 #后端

于 2021-12-13 16:05:19 首次发布
tshark是wireshark下的一个工具,主要用于命令行环境进行抓包,分析。
安装wireshark 
yum install wireshark
yum install wireshark-gnome

tshark -r 包路径 -Tfields -e tcp.stream   获取这个包所有的tcp流id

tshark -2 -R "tcp.stream eq 1" -r 源包路径 -w 目标包路径  将tcp流id为1的所有包过滤输出到指定文件 

根据这两个命令,写了一个小demo,将一个大包,按照tcp流或者udp流拆分成对应的多个小包。

#!/usr/bin/python
# -*- coding:utf-8 -*-

import os
import sys


def test(src_file, dst_path, proto):
    cmd = "tshark -r %s -Tfields -e %s.stream" % (src_file, proto)
    data = os.popen(cmd).read().split()
    data = map(eval, data)
    max_streamid = max(data) + 1
    for i in range(max_streamid):
        dst_file = os.path.join(dst_path, '%s.pcap' % i)
        cmd = "tshark -2 -R '%s.stream eq %s' -r %s -w %s" % (proto, i, src_file, dst_file)
        os.system(cmd)


if __name__ == '__main__':
    count = len(sys.argv)
    if count != 4:
        print "参数错误,请输入python test.py  原始包文件全路径 目的输出路径 tcp或udp"
        sys.exit(1)
    src_file = sys.argv[1]
    dst_path = sys.argv[2]
    proto = sys.argv[3]
    test(src_file, dst_path, proto)


                

        

    

  



    

      

        

            

              
                
                  bluekrystal
                
              
            

            

                关注
              
            

        

        

          
      

      










                



	

		

			

				
					
wireshark或tshark提取tcpdump捕获的数据包(附python脚本自动解析文件后缀)

				
			

			

				

					2301_80892630的博客
				

				

					10-19
					
					1990
					
				

			

		

		

			
				
启动 Wireshark 并加载工具栏:提供常用的操作按钮,如播放、停止、过滤、保存等。数据包列表:显示捕获文件中的所有数据包,通常包括序号、时间戳、源地址、目标地址、协议和长度等信息。数据包详情:显示选中的数据包的详细信息,包括各个协议层的信息。数据包字节:显示选中的数据包的原始字节数据。

			
		

	



                

            
              



	

		

			

				
					
python网络数据包分析_Pyshark:使用了WirdShark的Python数据包解析工具(Tshark

				
			

			

				

					weixin_39907157的博客
				

				

					12-04
					
					4311
					
				

			

		

		

			
				
PysharkPyshark是一款针对tsharkPython封装器,在Pyshark的帮助下,广大研究人员可以使用wireshark的解析器来进行Python数据包解析。扩展文档:【Pyshark】虽然目前社区也有多款针对Python包的解析模块,但Pyshark与它们不同的是,它本身并不会解析任何数据包,它只会使用tshark的功能(Wireshark命令行实用工具)来导出XML并完成包解析...

			
		

	



              


  
              

                


	

		

			

				
					
python多进程调用tshark脚本处理pcap流量包

				
			

			

				

					梦想闹钟
				

				

					08-31
					
					1853
					
				

			

		

		

			
				
python多进程调用tshark脚本处理pcap流量包

			
		

	





	

		

			

				
					
使用tshark命令解析tcpdump抓取的数据包

					
最新发布

				
			

			

				

					运维老生常谈
				

				

					04-20
					
					1036
					
				

			

		

		

			
				
如果要在windows命令行窗口使用tshark需要将Wireshark安装路径 C:\Program Files\Wireshark 添加到环境变量。查看帮助信息:列出可用网卡接口:5. \\Device\\NPF\_{257F23D0-E615-4656-AB32-5338DB62843C} (以太网 2)6. \\Device\\NPF\_{B5376652-68BB-45DA-A822-086E401773BB} (本地连接\* 10)前面提到过tcpdump -D。

			
		

	



		

			
		



	

		

			

				
					
Python-流量分析常用工具脚本(Tshark,pyshark,scapy)

				
			

			

				

					金灰的博客
				

				

					12-26
					
					2050
					
				

			

		

		

			
				
免责声明:本文仅作分享~在读此文章前,请确保您会使用wireshark并具备一些流量协议的知识。

			
		

	





	

		

			

				
					
tshark 分割、合并、过滤 数据包命令

					
热门推荐

				
			

			

				

					科技追踪者的专栏
				

				

					01-06
					
					1万+
					
				

			

		

		

			
				
1、把后两个数据包并到一个数据包merge.pcap


mergecap -w merge.pcap 1.pcap 2.pcap

 
2、按照radius条件过滤数据包

tshark -r 1.pcap radius -w radius.pcap

 
3、按照数据包数分割一个大的数据
editcap -c 1000000 merge.pcap split01.pca

			
		

	





	

		

			

				
					
调用wireshark接口(tshark.exe)抓包,实现深度自定义,使用python处理抓包数据

				
			

			

				

					热爱编程并专注于Python
				

				

					04-14
					
					3179
					
				

			

		

		

			
				
# _*_ coding: utf-8 _*_
"""
Time:     2022/4/14 11:13
Author:   Jyun
Version:  V 0.1
File:     demo.py
Blog:     https://ctrlcv.blog.youkuaiyun.com
"""

import datetime
import gzip
import json
import time

import pyshark


class GetPacket:
    def __init__(self,

			
		

	





	

		

			

				
					
抓包后如何解包

				
			

			

				

					04-03
				

			

		

		

			
				
工具方面,除了Wireshark,可能还有tshark命令行工具,或者Python的Scapy库。Scapy允许用户编写脚本解析数据包,这对自动化处理可能有帮助。  另外,用户可能关心解析后的分析,比如统计信息、异常检测,或者特定...

			
		

	





	

		

			

				
					
【网络编程新手指南】:用UserDict构建高效协议解析器

				
			

			

				

					
				

			

		

		

			
				
它的核心是通过套接字(Socket)编程来实现不同设备间的数据交换。理解基础的网络概念是进行协议解析的前提,因为协议解析本质上是网络通信中的一种数据处理方式。  ## 协议解析的重要性 在复杂的网络环境中,各种...

			
		

	





	

		

			

				
					
故障诊断与性能优化:深入电子秤协议的实战攻略

				
			

			

				

					
				

			

		

		

			
				
通过对协议层次和数据封装的分析,识别并解析了关键数据包,为故障诊断提供了理论支撑。结合常见故障类型、诊断工具和手段,本文构建了系统的故障诊断流程,并通过实际案例展示了故障排查的步骤。此外,本文还探讨了...

			
		

	





	

		

			

				
					
网络游戏封包:深入技术细节与性能调优实战策略

				
			

			

				

					
				

			

		

		

			
				
本文第一章介绍了网络游戏封包的基础知识,第二章深入探讨了封包捕获与分析的方法,涵盖了网络数据捕获技术、封包分析工具的使用以及协议分析的实践。第三章解析了封包机制,包括封包的封装解封装流程、常见游戏封包...

			
		

	





	

		

			

				
					
pyshark调用tsharkTShark not found

				
			

			

				

					2303_79648801的博客
				

				

					11-22
					
					460
					
				

			

		

		

			
				
今天做题的时候碰见了USB键盘隐写的题目用到了脚本在其调用pyshark库的时候发生了报错查看报错发现是因为pyshark再调用tshark.exe的时候在其默认安装路径没有找到tshark.exe因为我安装wireshark的时候修改了安装路径所以导致了pyshark找不到tshark

			
		

	





	

		

			

				
					
pyshark-legacy:用于tsharkPython包装器,允许使用Wireshark Dissectors(Python2旧版)解析python数据包

				
			

			

				

					05-10
				

			

		

		

			
				
皮沙克
该存储库适用于pyshark的旧版本,该版本可在Python2.7 +上运行。 它仅在版本0.3.8之后收到错误修复。 对于仅在Python 3.5+上受支持的新版本,请使用
 用于tsharkPython包装器,允许使用Wireshark Dissector解析python数据包。
 扩展文档:  : 
 有很多python数据包解析模块,这是不同的,因为它实际上并不解析任何数据包,它只是使用tshark的(wireshark命令行实用程序)功能来导出XML以使用其解析。
 该软件包允许使用已安装的所有wireshark解剖器从捕获文件或实时捕获进行解析。 在Windows / Linux上测试。
安装
所有平台
只需运行以下命令以从pypi安装最新版本
pip install pyshark-legacy
 或从git仓库安装: 
git clone https://gith

			
		

	





	

		

			

				
					
wireshark抓包数据提取

				
			

			

				

					04-24
				

			

		

		

			
				
wireshark导出日志中DATA提取工具代码。过滤掉多余信息,只提取出数据包里面的data数据。

			
		

	





	

		

			

				
					
pythontshark模块报错RuntimeError: Cannot add child handler, the child watcher does not have a loop atta

				
			

			

				

					Anastasia_li的博客
				

				

					02-23
					
					1431
					
				

			

		

		

			
				
问题描述
在python中用tshark抓包不使用线程正常运行
def analyze_pcap(pcap_path):
    import pyshark
    packets = pyshark.FileCapture(pcap_path, decode_as={'udp.port==xxx': 'xxx'}, display_filter='udp and ip')
    for packet in packets:
        print(packet)
analyze_pcap(pcap

			
		

	





	

		

			

				
					
python语言中param_python用parammiko模块实现linux的远程操作

				
			

			

				

					weixin_39828338的博客
				

				

					11-29
					
					219
					
				

			

		

		

			
				
parammiko  可以实现远程的带密码登录,解决ssh远程登陆需要交互的问题 (当然很多其他的,如tcl也可以)。但这个用python做比较简单1、parammiko 的安装1.1、依赖模块PyCrypto - The Python Cryptography Toolkit1.3、安装1、安装pycrypto$ tar -zxvf pycrypto-2.0.1.tar.gz $ cd pycr...

			
		

	





	

		

			

				
					
wireshark的拆包与合并

				
			

			

				

					weixin_33895475的博客
				

				

					03-17
					
					1564
					
				

			

		

		

			
				
背景:分析较高并发情景下的通话质量不佳的原因,需要长期抓包。  一、自动打包
1. 指定以1MB的大小打包,这个必须在/var/tmp/目录下执行。

tcpdump -i ens32 -vvvv -C 1 -w test

2. 指定以100MB的大小打包,打1000个包

tcpdump -i ens32 -vvvv -C 100 -W 1000 -w test

 
 好了,我们按照1GB打...

			
		

	





	

		

			

				
					
tshark提取

				
			

			

				

					2301_76718200的博客
				

				

					11-20
					
					342
					
				

			

		

		

			
				
URG:紧急比特(urgent), 当 URG=1 时,表明紧急指针字段有效, 代表该封包为紧急封包。SYN:同步比特 (Synchronous),SYN 置为 1,就表示这是一个连接请求或连接接受报文, 通常带有 SYN 标志的封包表示『主动』要连接到对方的意思。RST:复位比特 (Reset) , 当 RST=1 时,表明 TCP 连接中出现严重差错(如由于主机崩溃或其他原因),必须释放连接,然后再重新建立运输连接。当 FIN=1 时,表明此报文段的发送端的数据已发送完毕,并要求释放运输连接。

			
		

	





	

		

			

				
					
python解包dump,tcpdump抓包及tshark解包方法介绍

				
			

			

				

					weixin_42398141的博客
				

				

					03-26
					
					1401
					
				

			

		

		

			
				
tshark是wireshark的命令行工具,通过shell命令抓取、解析报文。tcpdump是Linux系统下的抓包工具。wireshark和tcpdump都共同使用 libpcap作为其底层抓包的库,tshark也可以抓取报文。有时候需要在linux系统或者ARM开发板中进行抓包,使用tcpdump抓包更加方便,在这种场景下,一般使用tcpdump进行抓包,然后在Windows中使用wires...

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值