0

我需要将 PCAP 文件拆分为两个不同的文件:第一个文件应包含所有(且仅)指向 ISO/OSI 模型的应用层的数据包,而第二个文件应包含所有其他文件。

我正在使用 Scapy 应用过滤器:

pkts = PcapReader(infile)
applayerpkts = (pkt for pkt in pkts if pkt.haslayer(Raw))
lowlayerspkts = (pkt for pkt in pkts if not pkt.haslayer(Raw))
wrpcap(applayerfilename, applayerpkts)
wrpcap(lowlayersfilename, lowlayerspkts)

usingpkt.haslayer(Raw)方法,因为该层应仅包含在定向到应用程序层的数据包中。

有什么问题?我注意到applayerfilename+的总和lowlayersfilename(以文件大小计)与infile.

报告的方法在计算上也很昂贵(我有一个大约 1.5GB 的 PCAP 列表),因为infile它被解析了两次。

我更喜欢应用不同的过滤器,解析一次输入 PCAP。我可以使用PcapReader该类并手动解析 PCAP,但我不知道如何生成 PCAP 以传递给该wrpcap(...)方法。

编辑:我也尝试过这个解决方案:

pkts = PcapReader(infile)
app_pkts = []
low_pkts = []
for p in pkts:
    if p.haslayer(Raw):
        app_pkts.append(p)
    else:
        low_pkts.append(p)
wrpcap(applayerfilename, app_pkts)
wrpcap(lowlayersfilename, low_pkts)

但它不起作用,因为由于我的输入 PCAP 的大小,它消耗了太多的内存......

是否append_to_pcap(filename, packet)存在类似功能(wrpcap(...)功能不能作为附加功能)?

4

1 回答 1

0

我(至少显然)以这种方式解决了:

pkts = PcapReader(infile)

app_writer = PcapWriter(applayerfilename, append=True)
low_writer = PcapWriter(lowlayersfilename, append=True)
for p in pkts:
    if p.haslayer(Raw):
        app_writer.write(p)
    else:
        low_writer.write(p)
app_writer.close()
low_writer.close()
于 2012-12-21T12:48:33.623 回答