流量分析--python--pyshark模块常用函数

最新推荐文章于 2025-06-24 15:27:11 发布
原创 最新推荐文章于 2025-06-24 15:27:11 发布 · 1k 阅读 · 5 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#python #开发语言

环境配置

首先在pyshark默认tshark路径是"C:\Program Files\wireshark"下的所以我们的wireshark要默认安装在c盘

安装完成之后

在pycharm中安装pyshark模块:pip install pyshark

这样子就可以使用pyshark模块了

import pyshark

cap = pyshark.FileCapture('pcapng.pcapng',tshark_path='c:/Program Files/Wireshark/tshark.exe',display_filter='http')
print(cap[0])
#三个个参数分别指定输入文件和 tshark 路径和需要过滤出来的协议




#打印结果如下
Packet (Length: 464)
Layer SLL
:	Packet type: Sent by us (4)
	Link-layer address type: Ethernet (1)
	Link-layer address length: 6
	Source: a0:a4:c5:94:1f:7e
	Unused: 0000
	Protocol: IPv4 (0x0800)
Layer IP
:	0100 .... = Version: 4
	.... 0101 = Header Length: 20 bytes (5)
	Differentiated Services Field: 0x00 (DSCP: CS0, ECN: Not-ECT)
	0000 00.. = Differentiated Services Codepoint: Default (0)
	.... ..00 = Explicit Congestion Notification: Not ECN-Capable Transport (0)
	Total Length: 448
	Identification: 0x5ca7 (23719)
	010. .... = Flags: 0x2, Don't fragment
	0... .... = Reserved bit: Not set
	.1.. .... = Don't fragment: Set
	..0. .... = More fragments: Not set
	...0 0000 0000 0000 = Fragment Offset: 0
	Time to Live: 64
	Protocol: TCP (6)
	Header Checksum: 0x1cdc [validation disabled]
	Header checksum status: Unverified
	Source Address: 192.168.31.25
	Destination Address: 192.168.31.75
Layer TCP
:	Source Port: 57124
	Destination Port: 80
	Stream index: 7
	Conversation completeness: Incomplete, ESTABLISHED (7)
	..0. .... = RST: Absent
	...0 .... = FIN: Absent
	.... 0... = Data: Absent
	.... .1.. = ACK: Present
	.... ..1. = SYN-ACK: Present
	.... ...1 = SYN: Present
	Completeness Flags: ···ASS
	TCP Segment Len: 396
	Sequence Number: 1    (relative sequence number)
	Sequence Number (raw): 1499439008
	Next Sequence Number: 397    (relative sequence number)
	Acknowledgment Number: 1    (relative ack number)
	Acknowledgment number (raw): 2062611008
	1000 .... = Header Length: 32 bytes (8)
	Flags: 0x018 (PSH, ACK)
	000. .... .... = Reserved: Not set
	...0 .... .... = Accurate ECN: Not set
	.... 0... .... = Congestion Window Reduced: Not set
	.... .0.. .... = ECN-Echo: Not set
	.... ..0. .... = Urgent: Not set
	.... ...1 .... = Acknowledgment: Set
	.... .... 1... = Push: Set
	.... .... .0.. = Reset: Not set
	.... .... ..0. = Syn: Not set
	.... .... ...0 = Fin: Not set
	TCP Flags: ·······AP···
	Window: 502
	Calculated window size: 64256
	Window size scaling factor: 128
	Checksum: 0xd99f [unverified]
	Checksum Status: Unverified
	Urgent Pointer: 0
	Options: (12 bytes), No-Operation (NOP), No-Operation (NOP), Timestamps
	TCP Option - No-Operation (NOP)
	Kind: No-Operation (1)
	TCP Option - Timestamps: TSval 208884719, TSecr 904220019
	Length: 10
	Timestamp value: 208884719
	Timestamp echo reply: 904220019
	Timestamps
	Time since first frame in this TCP stream: 0.000521527 seconds
	Time since previous frame in this TCP stream: 0.000204703 seconds
	SEQ/ACK analysis
	iRTT: 0.000316824 seconds
	Bytes in flight: 396
	Bytes sent since last PSH flag: 396
	TCP payload (396 bytes)
	TCP Option - No-Operation (NOP)
	Kind: No-Operation (1)
	Kind: Time Stamp Option (8)
Layer HTTP
:	GET /shell.php?pass=187 HTTP/1.1\r\n
	Expert Info (Chat/Sequence): GET /shell.php?pass=187 HTTP/1.1\r\n
	GET /shell.php?pass=187 HTTP/1.1\r\n
	Severity level: Chat
	Group: Sequence
	Request Method: GET
	Request URI: /shell.php?pass=187
	Request URI Path: /shell.php
	Request URI Query: pass=187
	Request URI Query Parameter: pass=187
	Request Version: HTTP/1.1
	Content-type: application/x-www-form-urlencoded\r\n
	User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; WOW64; Trident/5.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; InfoPath.3; .NET4.0C; .NET4.0E)\r\n
	Host: 192.168.31.75\r\n
	Accept: text/html, image/gif, image/jpeg, *; q=.2, */*; q=.2\r\n
	Connection: keep-alive\r\n
	Full request URI: http://192.168.31.75/shell.php?pass=187
	HTTP request 1/1
	\r\n

也可以遍历流量包


import pyshark

cap = pyshark.FileCapture('./pcapng.pcapng',tshark_path='c:/Program Files/Wireshark/tshark.exe',display_filter='http')

for p in cap:
    print(p)

单独看IP层

print(cap[0].ip)  #单独看IP层
print(dir(pcap[0]))  #查看流量包的可用字段

pyshark获取data-text-lines字段的值

我们可以看看如何获取

import pyshark

cap = pyshark.FileCapture('./swt1.pcapng',tshark_path='c:/Program Files/Wireshark/tshark.exe',display_filter='http')
print(dir(cap[0].http))

然后我们既可以看到调用函数'file_data'

cap[0].http.file_data

小菜鸡勿喷,请大家点点赞,每天都会更新一些关于web安全,以及流量分析,密码学方向的解题骚姿势。

顺问冬安I
关注
Python机器学习实战:采用机器学习技术对网络流量进行分析
AI天才研究院
06-11 741
1. 背景介绍 随着互联网的普及和发展,网络安全问题越来越受到人们的关注。网络攻击手段层出不穷,网络安全防护也变得越来越复杂。传统的安全防护手段已经无法满足现代网络安全的需求,因此,机器学习技术在网络安全领域的应用越来越受到关注。 机器学习技术可以通过对网络流量的分析,识别出网络攻击行为,从而提高网络安全防护的效果。Python作为一种
Python 中 dpkt 库的详细使用指南(强大的 Python 数据包解析库)
数据知道的博客
06-01 4327
dpkt 是一个功能强大的 Python 网络数据包解析库,支持解析和构造以太网、IP、TCP/UDP 等多种协议的数据包。其核心功能包括解析各层协议头部、读写 pcap 文件、构造自定义数据包及分析 HTTP 流量等。dpkt 提供简单易用的 API,适用于网络分析、安全研究和流量监控场景。优化技巧包括数据包过滤、批量处理和选择性解析以提高性能,常见问题如数据不完整或协议识别错误可通过异常处理和字段验证解决。典型应用场景涵盖协议分析、网络调试和自定义数据包生成。
使用 Python 分析网络流量
CSDN
05-28 9096
Nmap进行伪装扫描时,伪造数据包的TTL值是没有经过计算的,因而可以利用TTL值来分析所有来自Nmap扫描的数据包,对于每个被记录为Nmap扫描的源地址,发送一个ICMP数据包来确定源地址与目标机器之间隔了几跳,从而来辨别真正的扫描源。为了生成含有该指定字节序列的数据包,可以使用符号\x,后面跟上该字节的十六进制值。整合所有的代码,生成可以触发DDoS、exploits以及踩点扫描警报的数据包: -s参数指定发送的源地址,这里伪造源地址为1.2.3.4,-c参数指定发送的次数、只是测试就只发送一次即可。
Python实现高效流量分析
最新发布
sucker的博客
06-24 827
PyShark 是一个为网络安全分析、协议研究和流量监控而设计的Python 封装库,其核心价值在于将工业级抓包工具的强大解析能力与 Python 的灵活生态无缝融合。一、定位与核心价值协议解码的“翻译官”将原始网络流量(如网卡捕获的二进制数据)自动转化为结构化字典/对象,无需手动解析 TCP/IP 协议栈。跨越技术栈的桥梁允许数据分析师用 Python 的 Pandas/Matplotlib 处理流量,让开发者在 Django/Flask 中集成实时抓包功能。二、核心能力边界能力维度。
Python 流量分析
xlsj雪松的博客
05-28 2401
小白菜一棵,进修视频学习中! 1 ARP流量监控 ARP攻击,使目标主机无法与外界通信: 攻击主机制造假的arp应答,并发送给局域网中除被攻击之外的所有主机。arp应答中包含被 攻击主机的IP地址和虚假的MAC地址。 攻击主机制造假的arp应答,并发送给被攻击的主机,arp应答中包含除被攻击攻击主机之外的所有主机的IP地址和虚假的MAC地址。 ARP欺骗攻击,充当中间人,获取中间流量的信息: 以太网设备(比如网卡)都有自己全球唯一的MAC地址,它们是以MAC地址来传输以太网数据包的,但是以太网..
python实现——流量分析
LainWith的博客
08-23 8333
前言 需要使用Scapy模块来编写流量嗅探工具,用到Scapy中的sniff()函数,该函数中比较重要的参数如下: iface:指定在哪个网络接口上抓包 count:表示要捕获的数据包的数量。默认值是0,表示不限制数量 filter:流量的过滤规则。使用伯格利包过滤的语法 prn:定义回调函数,通常使用lambda表达式来写回调函数。当符合filter的流量被捕获时,就会执行回调函数 关于filter: 表达式常用的有以下三种限定词: Type:类型限定词。例如host、net、port等,如果不指定
Python-流量分析常用工具脚本(Tshark,pyshark,scapy)
金灰的博客
12-26 2185
免责声明:本文仅作分享~在读此文章前,请确保您会使用wireshark并具备一些流量协议的知识。
基于Python的网络流量分析系统
weixin_45769113的博客
08-02 2153
大数据网络流量系统是在对相关管理范畴进行详细调研后,确定了系统涉及的领域,包括数据库设计、界面设计等,是一个具有实际应用意义的管理系统。根据本毕业设计要求,经过四个多月的设计与开发,大数据网络流量系统基本开发完毕。其功能基本符合用户的需求。为保证有足够的技术能力去开发本系统,首先本人对开发过程中所用到的工具和技术进行了认真地学习和研究,详细地钻研了基于Python的网络爬虫技术以及Echarts, CSS, HTML等前端开发技术,同时还研究了大数据开发技术等。
python抓包 -- 用wireshark抓包、解析--scapy、PyShark
热门推荐
weixin_45939263的博客
12-11 1万+
只捕获源地址为192.168.1.125且目的端口为80的流量:src host 192.168.1.125 && dst port 80。prn: 定义回调函数,使用lambda表达式来写回调函数(当符合filter的流量被捕获时,就会执行回调函数)只捕获某个MAC地址主机的交互流量:ether src host 00:87:df:98:65:d8。只捕获来源于某一IP的主机流量:src host 192.168.1.125。只捕获除80端口以外的其他端口流量:!只捕获80端口的流量:port 80。
python读取数据流_python3+pyshark读取wireshark数据包并追踪telnet数据流
weixin_39860064的博客
12-01 1558
一、程序说明本程序有两个要点,第一个要点是读取wireshark数据包(当然也可以从网卡直接捕获改个函数就行),这个使用pyshark实现。pyshark是tshark的一个python封装,至于tshark可以认为是命令行版的wireshark,随wireshark一起安装。第二个要点是追踪流,追踪流在wireshark中是“tcp.stream eq 70”之类的形式,但是70这类值暂是不知道...
Python运维】Python与网络监控:如何编写网络探测与流量分析工具
一个被知识诅咒的人
01-21 1478
随着互联网技术的快速发展,网络性能的监控与分析成为保障信息系统稳定运行的关键环节。本文深入探讨了如何利用Python语言构建高效的网络探测与流量分析工具。首先,介绍了网络监控的基本概念和常用技术,随后详细阐述了基于Python的网络探测方法,包括Ping扫描和端口扫描,并结合Scapy库展示了具体实现。接着,本文重点讨论了流量分析工具的开发,从数据包捕获、流量统计到实时监控,提供了完整的代码示例和详细的中文注释。此外,文章还介绍了性能优化的策略,以提升工具的效率和稳定性。通过实际应用案例,验证了所开发工具在
Python-Flare是一个网络流量和行为分析的分析框架
08-10
Flare是为数据科学家,安全研究人员和网络专业人士设计的网络分析框架。用Python编写,它专为快速原型设计和行为分析的开发而设计,旨在识别网络中的恶意行为尽可能简单。
基于Python的网络流量特征统计分析与可视化.pdf
06-28
基于Python的网络流量特征统计分析与可视化.pdf
traffic-analysis:使用Pysharktshark进行流量分析
04-02
用法示例 要分析包含设备和服务器之间流量的pcap文件,请指定其路径和IP地址: ./pcap_analysis.py --pcap trace-mup-PUB-UPDATE-IMAGE.pcap --device-addr 00:12:4b:00:04:13:3d:f0 --broker-addr 00:12:4b:00:04:13:36:c1 要分析应用程序层有效负载,请另外指定要使用的有效负载分析器模块的名称: --payload-analyser myno 要使用特定的tshark二进制文件和MQTT版本,请另外指定二进制文件的路径和版本: --tshark /home/vagrant/iot/wireshark-3.3.0rc0-1711-gc099892700eb/build/run/tshark --mqtt-version 5.0 注意:首选项“ mqtt.de
Python-Malcolm是一个功能强大易于部署的网络流量分析工具套件
08-10
Malcolm是一个功能强大,易于部署的网络流量分析工具套件,适用于完整的数据包捕获工件(PCAP文件)和Zeek日志。
python pcap模块WIN32 64位版本
05-12
了解这些知识点后,你可以利用Python的pcap模块开发网络监控、入侵检测系统、数据分析或其他与网络流量相关的应用程序。在实际项目中,确保遵循网络安全法规,合法并负责任地使用数据包捕获功能。
python流量实时分析_笔记整理6——用python实现IP流量分析
weixin_39637919的博客
12-20 1481
一.主要思路(1).通过ip获取地理位置主要是通过ip从我们获取的数据库中查询相应信地理位置信息程序实现中已经将数据库下载到本地(2).对经过dpkt解析的对象pcap获取ip及其位置将经过dpkt.pcap.Reader(g)方法解析的pcap对象进行拆分解析这个pcap对象中含有一个[timestamp,packet]类数据的数组,我们将每个层分成以太网层和ip层两部分,通过socket读取i...
Python渗透测试之流量分析:流量嗅探工具编程
Liu_Bruce的博客
04-23 4051
Python渗透测试之流量分析:流量嗅探工具编程 ​ 不少人存在这样的观点:只要计算机安装各种专业的安全软件,系统及时更新补丁,密码尽可能复杂,那么计算机就会避免遭到入侵。当然这样的确不容易被入侵,但那也只是对传统的病毒、木马而言,在流量攻击面前,这些防护就会显得无能为力。无论何时,当你与其他设备进行通信时就会产生流量,当这些流量脱离了你的计算机后,其安全就不能得到有效的保障,然而这些流量中却包含着你的敏感数据,攻击者完全可以在不入侵你计算机的情况下获得你的敏感数据,这个过程叫流量嗅探。 实验环境: O
CI-BUS reverse engineering
03-29
关于 CI-BUS 协议的逆向工程方法和技术资源,虽然未直接提及于所提供的引用中,但仍可以从通用的逆向工程技术以及网络通信协议分析的角度出发来探讨解决方案。 ### 1. **CI-BUS 协议简介** CI-BUS 是一种工业控制领域中的现场总线协议,通常用于楼宇自动化系统或其他分布式控制系统之间的数据交换。由于其专有性和复杂性,在缺乏官方文档的情况下,对其进行逆向工程可能涉及以下技术手段: - 数据捕获工具(如逻辑分析仪或串口监听器)可用于记录原始信号波形并解析物理层传输特性[^3]。 - 如果该协议基于标准以太网实现,则 Wireshark 或 tcpdump 等抓包软件可以帮助截取高层消息帧结构[^4]。 ### 2. **逆向工程流程概述** #### 数据采集阶段 采用合适的硬件设备捕捉实际运行环境下的通信流量至关重要。对于低速串行接口类型的 CI-BUS 实现来说,USB 转 TTL 模块配合终端仿真程序可能是最简便的选择之一;而对于高速差分信号或者光纤介质连接的情况,则需借助更专业的测试仪器完成初步的数据获取工作。 #### 数据分析环节 一旦获得了足够的样本集之后,就需要运用各种模式识别技术和算法挖掘隐藏在其背后的语义信息: - 应用统计学原理寻找重复出现字段及其潜在含义; - 借助状态机建模描述整个交互过程的行为特征; - 利用机器学习分类模型预测未知命令的功能作用。 ### 3. **支持库与框架推荐** 尽管当前给出的具体引用并未特别针对 CI-BUS 反编译场景设计相关类库,但从功能角度来看,某些开源项目仍具备一定借鉴价值: - `Akka` 和其他反应式编程组件能够简化异步事件流处理机制的设计难度,从而提高开发效率[^1]。 - 面向约束满足问题求解方向上的工具链(比如Choco Solver),或许可以在构建精确的时间序列依赖关系图谱方面发挥作用[^2]。 另外值得注意的是,像 PyShark 这样的 Python 封装版 libpcap 接口也可以作为辅助脚本快速验证假设条件的有效途径。 ```python import pyshark def capture_ci_bus_traffic(interface_name='eth0'): cap = pyshark.LiveCapture(interface=interface_name) try: for packet in cap.sniff_continuously(): if 'TCP' in packet and hasattr(packet.tcp, 'payload'): payload_hex = ''.join([chr(int(x, 16)) for x in packet.tcp.payload.split(':')]) # Simple heuristic check based on known patterns within CI-BUS frames. if is_valid_ci_bus_frame(payload_hex): process_packet_data(payload_hex) except KeyboardInterrupt: print('Stopping...') capture_ci_bus_traffic() ``` 上述代码片段展示了如何利用实时嗅探方式监控指定网络端口中是否存在疑似匹配目标协议的消息体实例,并进一步调用自定义函数执行后续操作步骤。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值