0

我正在做一项任务,我必须通过 pcap 文件进行解析,并且我正在使用 dpkt 来执行此操作。我是网络新手,所以我很难调试代码/入门。

第一组代码:

import dpkt

filename='test.pcap'
f = open(filename)
pcap = dpkt.pcap.Reader(f)

for ts, buf in pcap:
    eth = dpkt.ethernet.Ethernet(buf)
    ip = eth.data
    tcp = ip.data

f.close()

错误是 AttributeError:“str”对象没有属性“data”

因此,从以前的 Stackoverflow 中,我发现也许我应该“跳过 dpkt 以太网解码并直接跳转到 IP 解码”,所以我更改了代码并转到:

import dpkt

filename='test.pcap'

f = open(filename)
pcap = dpkt.pcap.Reader(f)

for ts,buf in pcap:
    ip = dpkt.ip.IP(buf)
    tcp = ip.data

f.close()

它现在给我的错误是“UnpackError: invalid header length”

真的不明白如何继续前进,任何帮助将不胜感激

4

2 回答 2

5

对于手机上的痕迹,我也遇到了同样的问题。

这是由于以太网被 Linux Cooked Capture 取代。如果您的跟踪以类似方式封装,则必须使用 dpkt.sll.SLL(buff) 而不是 dpkt.ethernet.Ethernet(buf)。这是一个例子: 

import dpkt

filename='a_linux_cooked_capture.pcap'
f = open(filename, 'rb')
pcap = dpkt.pcap.Reader(f)

for ts, buf in pcap:
    eth = dpkt.sll.SLL(buf)
    ip = eth.data
    tcp = ip.data
f.close()
于 2016-06-24T21:30:37.667 回答
2

这通常发生在 Windows 上。在 Windows 上,您应该以二进制模式打开 pcap 文件:

f = open('test.pcap','rb')

于 2016-06-20T19:10:07.047 回答