如何使用 scapy 过滤已经存在的 pcap 文件?

【问题标题】:How can I filter an already existing pcap file using scapy?如何使用 scapy 过滤已经存在的 pcap 文件?
【发布时间】:2020-04-20 12:39:15
【问题描述】:

我正在尝试嗅探现有的 pcap 文件,对其进行过滤并将其保存到一个新文件中,但是当我运行我的代码时会弹出此异常。 我该如何解决这个问题?

代码:

from scapy.all import *

def write(pcap):
    for pkt in pcap:
        wrpcap('filtered.pcap', pkt, append=True)  
    else:
        pass

def load_pcap(path, filter_str):
    pcap = sniff(offline=path, filter=filter_str)
    write(pcap)


def main():
    load_pcap("file.pcap", 'icmp')

main()

例外:

Traceback (most recent call last):
  File "C:\Users\myUser\AppData\Local\Programs\Python\Python37\lib\site-packages\scapy\utils.py", line 1663, in tcpdump
    stderr=stderr,
  File "C:\Users\myUser\AppData\Local\Programs\Python\Python37\lib\subprocess.py", line 756, in __init__
    restore_signals, start_new_session)
  File "C:\Users\myUser\AppData\Local\Programs\Python\Python37\lib\subprocess.py", line 1100, in _execute_child
    args = list2cmdline(args)
  File "C:\Users\myUser\AppData\Local\Programs\Python\Python37\lib\subprocess.py", line 511, in list2cmdline
    needquote = (" " in arg) or ("\t" in arg) or not arg
TypeError: argument of type 'NoneType' is not iterable

During handling of the above exception, another exception occurred:

Traceback (most recent call last):
  File "sharkscript.py", line 140, in <module>
    main()
  File "sharkscript.py", line 137, in main
    funcs()
  File "sharkscript.py", line 130, in funcs
    options()
  File "sharkscript.py", line 95, in options
    load_pcap(get_filter(), path)
  File "sharkscript.py", line 33, in load_pcap
    pcap = sniff(offline=path, filter=filter_str)
  File "C:\Users\myUser\AppData\Local\Programs\Python\Python37\lib\site-packages\scapy\sendrecv.py", line 972, in sniff
    sniffer._run(*args, **kwargs)
  File "C:\Users\myUser\AppData\Local\Programs\Python\Python37\lib\site-packages\scapy\sendrecv.py", line 824, in _run
    )] = offline
  File "C:\Users\myUser\AppData\Local\Programs\Python\Python37\lib\site-packages\scapy\utils.py", line 1663, in tcpdump
    stderr=stderr,
  File "C:\Users\myUser\AppData\Local\Programs\Python\Python37\lib\site-packages\scapy\utils.py", line 555, in __exit__
    raise OSError(msg)
OSError: Could not execute windump(), is it installed ?

我尝试搜索 windump 以及如何安装它,但找不到任何东西。 是否有另一种过滤“离线”pcap 的方法?

【问题讨论】:

    标签: python scapy pcap packet-sniffers sniffing


    【解决方案1】:

    我尝试运行您的代码并得到同样的错误。我认为这是sniff 函数中的一个错误,因为删除filter 参数使其工作(过去它似乎对其他人工作,例如here

    无论如何,如果你提前知道过滤器,你可以用haslayer函数替换它,就像这样-

    def load_pcap(path):
    f = PcapWriter("out.pcap", append=True, sync=True)
    sniff(offline=path, prn=lambda p: f.write(p) if ICMP in p else None)

    如果您不知道确切的过滤器,但它将是一个简单的协议名称,您可以在字符串和 Scapy 层之间进行映射,并以相同的方式使用它。

    如果过滤器更复杂(例如tcp.srcport==1234之类的东西)恐怕您需要单独从用户那里获取参数(例如load_pcap(path, src_mac, dst_mac, src_ip, dst_ip, src_port, dst_port, protocol,...)或找到将BPF字符串解析为的方法参数。

    希望这会有所帮助:)

    【讨论】:

      猜你喜欢
      • 2018-03-10
      • 1970-01-01
      • 2017-08-15
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 2011-01-15
      • 2016-02-17
      • 1970-01-01
      相关资源
      最近更新 更多
      热门标签
      Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode