我尝试了几种不同的方法,并在许多论坛上四处寻找这个问题的答案。
我的目标是使用 Python 简单地解析一个 wireshark .pcap-ng 跟踪文件。据我所知,我似乎需要 Python 或 WinCap 的 libpcap 包装器(PyCapy?)
我对 Python 比较陌生,所以如果大家对如何安装这个模块有任何指示,请告诉我。早些时候我安装了一个 32 位版本的 Python 并找到了一个 win32 安装程序,并且能够解析 .pcap 文件,但我真的希望能够解析 .pcapng 文件。谢谢大家,~Kyte
可悲的是,这是 Windows,所以 WinPcap 无济于事;libpcap 1.1.0 及更高版本可以读取 pcap-ng 文件,但目前没有基于支持 pcap-ng 的 libpcap 版本的 WinPcap 版本。
也就是说,目前,第一个尝试的软件是VirtualBox、Parallels Workstation或VMware Workstation,下一个要尝试的软件是在您的 Windows 机器上运行在虚拟化软件下的某个 Linux 发行版。对不起。
(是的,我必须抽出时间做一些 libpcap 基础设施工作,以使 WinPcap 人员更容易使他们的远程捕获支持与较新版本的 libpcap 一起工作。可悲的是,一天只有 24 小时,而且很多在诸如吃饭和睡觉之类的琐事之后剩下的时间里竞争的其他事情。:-))
该特定问题的解决方法是将 Wireshark 的捕获保存为 pcap 格式而不是 pcap-ng 格式,或者使用 Wireshark 工具,例如 editcap(它可以在 Windows 上处理 pcap-ng 文件,因为它们不使用 libpcap /WinPcap读取捕获文件)从 pcap-ng 转换为 pcap。
libpcap/WinPcap 有几个 Python 包装器 - python-libpcap和Pcapy。python-libpcap 页面上有一个守护进程和一个企鹅,所以他们只是在宣传 BSD 和 Linux 支持;它可能适用于其他 UN*X,因为您连接到 libpcap 的方式不应该有重大差异,但可能不适用于 Windows。然而,Pcapy 明确提到了 WinPcap 和 Win32 二进制文件。