🏆本文收录于《CSDN问答解惑-专业版》专栏,主要记录项目实战过程中的Bug之前因后果及提供真实有效的解决方案,希望能够助你一臂之力,帮你早日登顶实现财富自由🚀;同时,欢迎大家关注&&收藏&&订阅!持续更新中,up!up!up!!
问题描述
python如何过滤应用层协议
用tshark抓取到的数据 怎么根据应用层协议进行过滤?
我的命令是tshark -i ens33 -s 65535 -w -
我现在需要对ftp和rtp协议的数据进行过滤 不捕获这两个协议的数据。tshark有一个参数-Y 可以根据这个过滤 但是-Y 和0-w不能同时用。
-2 -R参数又提示我的命令是single-pass 用不了
该怎么办呢?参数这里有方法过滤吗?
或者在抓取到数据后 根据什么对数据进行分析可以提取并过滤掉这两个协议的数据呢?
我现在有一个tcpdump分析数据的方法 我使用可以基于提取出来的包中的信息 来识别出应用层协议?如果可以的话 用什么方法?
def producer(q):try:tcpdump_process = subprocess.Popen(["tcpdump", "-i", str(wangkaname), "-U", "-s", "65535", "-w", "-"],stdout=subprocess.PIPE,stderr=subprocess.PIPE,)try:pcap_header = tcpdump_process.stdout.read(24)if pcap_header[:4] == b"\xa1\xb2\xc3\xd4": # big-endiantypeI = "!I"typeH = "!H"elif pcap_header[:4] == b"\xd4\xc3\xb2\xa1": # little-endiantypeI = "I"typeH = "H"else:raise ValueError("Unknown pcap file format")reader = PacketReader("../dataset/realdiswangka.csv")while True:try:packet_header = tcpdump_process.stdout.read(16)if not packet_header:if tcpdump_process.poll() is not None:breakcontinuetimeHigh = struct.unpack(typeI, packet_header[0:4])[0]timeLow = struct.unpack(typeI, packet_header[4:8])[0]timeStamp = 1000000 * timeHigh + timeLowts_sec, ts_usec, incl_len, orig_len = struct.unpack(typeI + typeI + typeI + typeI, packet_header)** ** packet_data = tcpdump_process.stdout.read(incl_len)__**__** //我现在有一个tcpdump分析数据的方法 我使用可以基于提取出来的包中的信息 来识别出应用层协议?如果可以的话 用什么方法?basicPacket = reader.get_ipv4_info(packet_data, timeStamp)if basicPacket:q.put(basicPacket)except Exception as e:print(f"发生了未知的错误: {e}")except Exception as e:print(f"发生了未知的错误: {e}")finally:tcpdump_process.terminate()tcpdump_process.wait()except Exception as e:print(f"发生了未知的错误: {e}")
解决方案
如下是上述问题的解决方案,仅供参考:
要过滤应用层协议(如FTP和RTP)而不捕获这些协议的数据,最好的方法是使用tshark或tcpdump在捕获阶段进行过滤。虽然-Y和-w不能同时使用,但你可以使用其他方法来实现这个目标。
1. 使用tcpdump进行协议过滤
你可以使用tcpdump进行协议过滤,然后将过滤后的数据传递给tshark进行进一步处理。以下是一个示例:
tcpdump -i ens33 -s 65535 '(not port 21 and not udp port 5004 and not udp port 5005)' -w - | tshark -r - -w output.pcap
在这个示例中,tcpdump捕获所有接口为ens33的流量,并过滤掉FTP(端口21)和RTP(端口5004和5005)的流量,然后将结果传递给tshark,并将其写入output.pcap文件。
2. 使用tshark进行过滤
如果你一定要使用tshark进行捕获并过滤,你可以先使用tshark捕获数据,然后使用tshark的读取和过滤功能对数据进行处理。
首先,捕获数据并保存到文件:
tshark -i ens33 -s 65535 -w capture.pcap
然后,使用tshark读取并过滤数据:
tshark -r capture.pcap -Y "not (ftp or rtp)" -w filtered_capture.pcap
3. 在Python中解析和过滤数据
你也可以在捕获所有数据后,使用Python解析PCAP文件,并根据应用层协议进行过滤。
安装必要的库:
pip install scapy
以下是一个示例脚本,使用Scapy解析PCAP文件并过滤FTP和RTP流量:
from scapy.all import rdpcap, wrpcap
from scapy.layers.inet import IP, TCP, UDPdef filter_packets(input_pcap, output_pcap):packets = rdpcap(input_pcap)filtered_packets = []for packet in packets:if packet.haslayer(TCP) and packet[TCP].dport != 21 and packet[TCP].sport != 21:filtered_packets.append(packet)elif packet.haslayer(UDP) and not (packet[UDP].sport in [5004, 5005] or packet[UDP].dport in [5004, 5005]):filtered_packets.append(packet)wrpcap(output_pcap, filtered_packets)input_pcap = "capture.pcap"
output_pcap = "filtered_capture.pcap"
filter_packets(input_pcap, output_pcap)
4. 在Python中结合tcpdump进行过滤和处理
你可以结合使用Python和tcpdump进行过滤和处理。以下是一个示例,展示如何使用tcpdump进行过滤,并在Python中进一步处理:
import subprocess
import struct
from scapy.all import Packetdef producer(q):try:tcpdump_process = subprocess.Popen(["tcpdump", "-i", "ens33", "-U", "-s", "65535", "-w", "-", "not port 21 and not udp port 5004 and not udp port 5005"],stdout=subprocess.PIPE,stderr=subprocess.PIPE,)try:pcap_header = tcpdump_process.stdout.read(24)if pcap_header[:4] == b"\xa1\xb2\xc3\xd4": # big-endiantypeI = "!I"typeH = "!H"elif pcap_header[:4] == b"\xd4\xc3\xb2\xa1": # little-endiantypeI = "I"typeH = "H"else:raise ValueError("Unknown pcap file format")while True:try:packet_header = tcpdump_process.stdout.read(16)if not packet_header:if tcpdump_process.poll() is not None:breakcontinuetimeHigh = struct.unpack(typeI, packet_header[0:4])[0]timeLow = struct.unpack(typeI, packet_header[4:8])[0]timeStamp = 1000000 * timeHigh + timeLowts_sec, ts_usec, incl_len, orig_len = struct.unpack(typeI + typeI + typeI + typeI, packet_header)packet_data = tcpdump_process.stdout.read(incl_len)# 在这里处理你的数据包# 例如,你可以使用Scapy解析数据包并进行进一步处理packet = Packet(packet_data)q.put(packet)except Exception as e:print(f"发生了未知的错误: {e}")except Exception as e:print(f"发生了未知的错误: {e}")finally:tcpdump_process.terminate()tcpdump_process.wait()except Exception as e:print(f"发生了未知的错误: {e}")
总结
- 使用
tcpdump进行初步的协议过滤,然后将结果传递给tshark。 - 使用
tshark进行初步捕获,然后使用tshark进行过滤。 - 使用Python和Scapy解析PCAP文件并进行过滤。
- 结合使用
tcpdump和Python进行实时过滤和处理。
这些方法可以帮助你根据应用层协议过滤流量并进一步处理数据。选择最适合你需求的方法进行实现。
希望如上措施及解决方案能够帮到有需要的你。
PS:如若遇到采纳如下方案还是未解决的同学,希望不要抱怨&&急躁,毕竟影响因素众多,我写出来也是希望能够尽最大努力帮助到同类似问题的小伙伴,即把你未解决或者产生新Bug黏贴在评论区,我们大家一起来努力,一起帮你看看,可以不咯。
若有对当前Bug有与如下提供的方法不一致,有个不情之请,希望你能把你的新思路或新方法分享到评论区,一起学习,目的就是帮助更多所需要的同学,正所谓「赠人玫瑰,手留余香」。
☀️写在最后
如上问题有的来自我自身项目开发,有的收集网站,有的来自读者…如有侵权,立马删除。再者,针对此专栏中部分问题及其问题的解答思路或步骤等,存在少部分搜集于全网社区及人工智能问答等渠道,若最后实在是没能帮助到你,还望见谅!并非所有的解答都能解决每个人的问题,在此希望屏幕前的你能够给予宝贵的理解,而不是立刻指责或者抱怨!如果你有更优解,那建议你出教程写方案,一同学习!共同进步。
ok,以上就是我这期的Bug修复内容啦,如果还想查找更多解决方案,你可以看看我专门收集Bug及提供解决方案的专栏《CSDN问答解惑-专业版》,都是实战中碰到的Bug,希望对你有所帮助。到此,咱们下期拜拜。
码字不易,如果这篇文章对你有所帮助,帮忙给 bug菌 来个一键三连(关注、点赞、收藏) ,您的支持就是我坚持写作分享知识点传播技术的最大动力。
同时也推荐大家关注我的硬核公众号:「猿圈奇妙屋」 ;以第一手学习bug菌的首发干货,不仅能学习更多技术硬货,还可白嫖最新BAT大厂面试真题、4000G Pdf技术书籍、万份简历/PPT模板、技术文章Markdown文档等海量资料,你想要的我都有!
📣关于我
我是bug菌,CSDN | 掘金 | InfoQ | 51CTO | 华为云 | 阿里云 | 腾讯云 等社区博客专家,C站博客之星Top30,华为云2023年度十佳博主,掘金多年度人气作者Top40,掘金等各大社区平台签约作者,51CTO年度博主Top12,掘金/InfoQ/51CTO等社区优质创作者;全网粉丝合计 30w+;硬核微信公众号「猿圈奇妙屋」,欢迎你的加入!免费白嫖最新BAT互联网公司面试真题、4000G PDF电子书籍、简历模板等海量资料,你想要的我都有,关键是你不来拿哇。
