dpkt解析数据包

发布于 2022-09-11 19:17:14 字数 640 浏览 44 评论 0

问题描述：
我用python抓包，数据包格式是TCP包用GRE包了一层，用dpkt可以解析，结果抓包的目标交换机系统版本变动了，所以包虽然还是那个包，却多了一层ERSPAN的东西，然后就解析不了了，看图：
图片描述

图片描述
老版本可以解析，但是新版本到Encapsulated Remote Switch Packet ANalysis Type I这一层就往下解析不了了，我之前用的wireShark解析,也解析不了，然后升级了wireShark后可以解析了

# 获取以太网部分数据
Ethernet_pack = dpkt.ethernet.Ethernet(buf)
# 协议类型 25944，35006
ptype = Ethernet_pack.data.data.p

要获取每一层数据用.data就可以了，但是新版本的这种格式解析不了

dpkt有没有办法解析这种数据包？

分享到QQ

分享到微博

如果你对这篇内容有疑问，欢迎到本站社区发帖提问参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。

发布评论

需要登录才能够评论，你可以免费注册一个本站的账号。

愚人国度 2022-09-18 19:17:14

我试了 dpkt 是可以的。
解析文件 2019_0416_1558_38.pcap 第一个报文是成功的，与 WireShark 展示一致。

#coding=utf-8

import os
import sys

from dpkt.ip import IP
from dpkt.pcap import Reader as PReader
from dpkt.ethernet import Ethernet
from socket import inet_ntop
from socket import AF_INET

curpath = os.path.dirname(os.path.realpath(__file__))

import dpkt
print("dpkt.__version__= {}".format(dpkt.__version__))

def main():



    p = "2019_0416_1558_38.pcap"
    p = os.path.join(curpath, p)

    cnt = 0

    with open(p, "rb") as fr:
        rd = PReader(fr)
        for pkt in rd:
            cnt+=1
            # bs is str
            bs = pkt[1]
            eth = Ethernet(bs)

            ip = eth.ip.gre.ethernet.ip
            tcp = ip.tcp
            print("[{}]{}->{}  {}->{}".format(
                cnt,
                inet_ntop(AF_INET, ip.src),
                inet_ntop(AF_INET, ip.dst),
                tcp.sport, tcp.dport))
            
            if cnt > 10:
                break

    print("main exit")


if __name__ == '__main__':
    main()

因为要解析 GRE.proto = （ETH_TYPE_ERSPAN1 = 0x88be），现有dpkt (1.9.2) 不支持此协议，因此要仿照此次 commit https://github.com/kbandla/dp... 增加 patch

ETH_TYPE_ERSPAN1 = 0x88be
...
Ethernet.set_type(ETH_TYPE_ERSPAN1, Ethernet)

然后就成功解析了。

输出


dpkt.__version__= 1.9.2
[1]10.126.44.15->10.120.50.5  63343->7191
[2]10.103.17.176->10.120.101.14  44589->80
[3]10.126.41.14->10.120.101.14  21632->80
[4]10.103.32.111->10.120.13.23  43223->9088
[5]10.120.182.22->10.120.91.61  26951->9088
[6]10.136.18.18->10.120.89.46  14273->4242
[7]10.120.175.36->10.120.186.25  39582->9504
[8]10.120.166.32->10.120.191.22  35683->9089
[9]10.103.32.112->10.120.163.33  52748->9089
[10]10.120.180.17->10.120.91.50  11881->9000
[11]10.126.51.16->10.120.91.17  31950->8193
main exit

回复收藏 0

~没有更多了~