0

我使用 dpkt python 包来解析 pcap 文件,并执行以下操作来获取 tcp 数据包:

f = open(fname)
pcap = dpkt.pcap.Reader(f)
tcps = []
for ts, buff in pcap_in:
    eth = dpkt.ethernet.Ethernet(buff)
    ip = eth.data
    tcp = ip.data

现在我想看看哪些有 SYN 和 ACK 标志。我试图将具有这两个标志的那些放在一个列表中,如下所示:

syn_plus_ack = []
for tcp in tcps:
    if ((tcp.flags & dpkt.tcp.TH_SYN) and (tcp.flags & dpkt.tcp.TH_ACK)):
        syn_plus_ack.append(tcp)

我不确定这是否符合我的要求,因为我在一个示例 pcap 文件上进行了尝试,并且有很多数据包具有大量 SYN 但没有 ACK+SYN。

我注意到syn_plus_ack中tcp.flags的值是18,dpkt.tcp.TH_SYN是2,dpkt.tcp.TH_ACK是16。tcp.flags的值是数据包中所有标志值的总和吗?有什么我做错了吗?

4

1 回答 1

2

这可能是因为您假设pcap 中的所有数据包都是 TCP。在解析数据包的标头之前,您需要确保数据包实际上是 TCP flags。这可以通过检查标题中的字段p是否为( ) 来完成:ip6dpkt.ip.IP_PROTO_TCP

import dpkt

def parse_pcap(filepath):
    f = open(filepath)
    pcap = dpkt.pcap.Reader(f)
    for num, (ts, buff) in  enumerate(pcap):
        eth = dpkt.ethernet.Ethernet(buff)
        if eth.type != dpkt.ethernet.ETH_TYPE_IP:
            # We are only interested in IP packets
            continue
        ip = eth.data
        if ip.p != dpkt.ip.IP_PROTO_TCP:
            # We are only interested in TCP
            continue
        tcp = ip.data
        if ((tcp.flags & dpkt.tcp.TH_SYN) and (tcp.flags & dpkt.tcp.TH_ACK)):
            # TCP SYN and ACK
            print('Found TCP SYN & ACK in Packet #%d'%num)
        print('Packet #{1:d} : {0:b} = 0x{0:x}'.format(tcp.flags, num))

我刚刚在此处可用的文件上进行了尝试http.pcap结果如下:

Packet #0 : 10 = 0x2
Found TCP SYN & ACK in Packet #1
Packet #1 : 10010 = 0x12
Packet #2 : 10000 = 0x10
Packet #3 : 11000 = 0x18
于 2018-03-01T01:30:26.937 回答