rdpcap函数来读取PCAP文件。我还使用了一个模块,描述在Scapy中HTTP支持的链接,这在我的情况下是必需的,因为我需要检索所有HTTP请求和响应及其相关数据包。rdpcap函数花费了太多时间来读取它。pcap文件?Scapy还有另一种方法sniff,您也可以使用它来读取pcap文件:
def method_filter_HTTP(pkt):
#Your processing
sniff(offline="your_file.pcap", prn=method_filter_HTTP, store=0)
rdpcap将整个pcap文件加载到内存中。因此它使用大量的内存,正如你所说的那样它很慢。而sniff一次读取一个数据包并将其传递给提供的prn函数。参数store=0确保数据包在处理完后立即从内存中删除。
虽然我同意加载时间比预期的长,但这很可能是因为文件正在被解析以生成一组高度复杂的对象数组。我所做的是使用editcap来切割数据包捕获文件,以使其更易于阅读。例如:
$ editcap -B 2013-05-2810:05:55 -i 5 -F libpcap inputcapture.pcap outputcapture.pcap
-F libpcap部分似乎是必需的(至少对我来说),以使scapy的pcap函数能够解析该文件。 (这应该是默认的pcap文件输出格式,但对于我来说并非如此。您可以使用capinfos验证输入和输出文件的文件类型(例如,只需输入capinfos your_capture.pcap)。capinfos和editcap。PcapReader() 代替 rdpcap()。
PcapReader() 创建了一个生成器,并且只在需要时加载数据包,与 rdpcap() 加载整个跟踪文件不同。因此,PcapReader() 非常适合于需要很长时间才能用 rdpcap() 加载或因为系统容量不足而抛出 MemoryError 的大型跟踪文件。packets = PcapReader('filename.pcap')
for packet in packets:
mac_src = packet[Ether].src
mac_dst = packet[Ether].dst
...
PcapReader()的信息。rdpcap()可能比PcapReader()更具优势,尽管我不确定差异的大小。sniff()会话功能一起使用。例如:pkts = sniff(offline="http_chunk.pcap.gz", session=TCPSession, store=0)
TCPsession功能将返回一个包含所有底层数据组成的每个HTTPRequest、HTTPResponse的已组装数据的“数据包”列表。它仍然会返回单独的数据包,如Ack数据包。因此,例如,检查一个“数据包”haslayer(HTTPResponse),那么该“数据包”包含整个响应有效载荷。还可以使用answers()功能匹配请求和响应。请注意,您可以使用sniff()进行实时捕获,或使用离线数据包捕获,或使用数据包列表。