Cara menggunakan perpustakaan libpcap untuk penangkapan paket dan pemprosesan data dalam python

Artikel ini membawakan anda pengetahuan yang berkaitan tentang Python Ia terutamanya memperkenalkan cara menggunakan perpustakaan libpcap untuk penangkapan paket dan pemprosesan data, termasuk memasang libpcap, menggunakan perpustakaan libpcap, dsb. Mari kita lihat. kandungan di bawah semoga bermanfaat kepada semua.

[Cadangan berkaitan: Tutorial video Python3 ]

versi python: python 3.9

versi libpcap: 1.11.0b7

pustaka libpcap python ialah pakej pembangunan yang mengikat perpustakaan libpcap bahasa c asas, bertujuan untuk menyediakan API perpustakaan libpcap unix c yang boleh diakses oleh aplikasi python (dan Npcap dan WinPcap disediakan untuk sistem win32), secara langsung menggunakan kod c asas, dengan prestasi yang sangat baik.

Berikut direkodkan cara memasang dan menggunakan perpustakaan libpcap dalam python3.9 di bawah persekitaran Windows 10 (untuk sistem Linux dan mac, sila rujuk Windows).

alamat pypi: https://pypi.org/project/libpcap/

alamat github: https://github.com/karpierz/libpcap

1 Pasang pustaka libpcap

1 Pemasangan dalam talian

Gunakan pip terus untuk memasang:

pip install libpcap

Versi terkini dipasang secara lalai.

2. Pemasangan luar talian

2.1 Muat turun fail pemasangan luar talian

boleh ditemui di kod sumber halaman pypi atau fail whl.

2.2 Lakukan pemasangan luar talian

1) Anda boleh menggunakan kod sumber untuk memasang

Ekstrak fail ke direktori semasa , dan kemudian laksanakan arahan pemasangan:

python -m pip install ./libpcap-1.11.0b7

2) Anda juga boleh menggunakan fail whl untuk pemasangan luar talian

Arahan pemasangan adalah seperti berikut:

python -m pip install libpcap-1.11.0b7-py3-none-any.whl

2 Menggunakan perpustakaan libpcap

1 perpustakaan pcap

import libpcap
libpcap.config(LIBPCAP="wpcap")

2 Pengenalan kepada API yang biasa digunakan

tcpdump dilaksanakan berdasarkan libpcap Dokumentasi bahasa C libpcap boleh didapati di tapak web rasmi tcpdump:

https://www .tcpdump.org/manpages/pcap.3pcap.html

Antara muka Python yang biasa digunakan ialah diterangkan di sini.

2.1 Dapatkan antara muka peranti rangkaian

• lookupdev(errbuf)

Fungsi: Fungsi ini kegunaan Untuk mencari peranti rangkaian, nilai yang dikembalikan boleh dipanggil terus oleh fungsi open_live.

Parameter:

errbuf ialah jenis rentetan bahasa c, digunakan untuk mendapatkan maklumat ralat.

Contoh penggunaan:

import ctypes as ct
import libpcap as pcap
errbuf = ct.create_string_buffer(pcap.PCAP_ERRBUF_SIZE + 1)
device = pcap.lookupdev(errbuf)
print(errbuf.value)

• findalldevs(alldevs, errbuf)

Fungsi: Fungsi ini digunakan untuk mencari semua peranti rangkaian.

Parameter:

alldevs ialah penunjuk struktur pcap_if_t, digunakan untuk menyimpan semua maklumat peranti rangkaian yang ditemui.

errbuf ialah jenis rentetan bahasa C, digunakan untuk mendapatkan maklumat ralat.

Contoh penggunaan:

import ctypes as ct
import libpcap as pcap
errbuf = ct.create_string_buffer(pcap.PCAP_ERRBUF_SIZE + 1)
alldevs = ct.POINTER(pcap.pcap_if_t)()    
pcap.findalldevs(ct.byref(alldevs), errbuf)
print(alldevs[0].name)
pcap.freealldevs(alldevs)

2.2 Antara muka tangkapan paket

• open_live(device:bytes,snaplen:int,promisc:int,to_ms: int,errbuf)

Fungsi: Fungsi ini digunakan untuk membuka peranti rangkaian untuk menangkap data

Parameter:

peranti ialah antara muka rangkaian. nama boleh diperolehi melalui API, atau boleh ditentukan secara manual, seperti: "eth0"

snaplen ialah panjang paket data yang ditangkap, yang tidak boleh melebihi 65535

janji adalah digunakan untuk menandakan sama ada untuk mendayakan mod promiscuous, 1 Mewakili mod promiscuous, nilai lain mewakili mod non-promiscuous

to_ms mewakili bilangan milisaat untuk menunggu Selepas masa ini, fungsi untuk mendapatkan paket data akan kembali serta-merta, 0 bermakna menunggu sehingga paket data tiba

errbuf ialah jenis rentetan bahasa C, digunakan untuk mendapatkan maklumat ralat.

Nilai pulangan: Mengembalikan penunjuk jenis pcap_t. Penunjuk ini mesti digunakan dalam semua operasi berikutnya.

Contoh penggunaan:

import ctypes as ct
import libpcap as pcap
device = b'eth0' # linux 
errbuf = ct.create_string_buffer(pcap.PCAP_ERRBUF_SIZE + 1)
handle = pcap.open_live(device,4096,1,1000,errbuf)
if errbuf.value:
    print("hanle error :",errbuf.value)

• open_offline(fname:bytes,errbuf)

Fungsi: Fungsi ini digunakan Buka fail tangkapan paket luar talian

Parameter:

fname ialah nama fail, contohnya: b"/tmp/test1.cap"

errbuf ialah rentetan bahasa c taip, gunakan untuk mendapatkan maklumat ralat.

Nilai pulangan: Mengembalikan penunjuk jenis pcap_t. Penunjuk ini mesti digunakan dalam semua operasi berikutnya.

Contoh penggunaan:

import ctypes as ct
import libpcap as pcap
errbuf = ct.create_string_buffer(pcap.PCAP_ERRBUF_SIZE + 1)
handle = pcap.open_offline(fname,errbuf)
if errbuf.value:
    print("hanle error :",errbuf.value)

2.3 Antara muka pemerolehan paket

• seterusnya(pemegang,pheader)

Fungsi: Fungsi ini digunakan untuk mendapatkan paket data, hanya satu paket pada satu masa.

Parameter:

handle为pcap_t类型指针

pheader为pcap_pkthdr结构体指针，可通过pkthdr函数创建

返回值：返回u_char类型指针,代表包数据，可使用struct.unpack函数解析

使用示例：

import libpcap as pcap
pheader = pcap.pkthdr()
packet = pcap.next(handle,pheader)

2.4 写文件接口

• dump_open(handle,fname:bytes)

功能：该函数用于打开文件，存储获取到的数据包。

参数：

handle为pcap_t类型指针

fname为文件名称

返回值：返回pcap_dumper_t 类型指针,后面的所有操作都要使用这个指针。

使用示例：

import libpcap as pcap

fname = b"realtime1.cap"
fPcap = pcap.dump_open(handle,fname)

• dump(handle,pheader,packet)

功能：该函数用于存储获取到的数据包。

参数：

handle为pcap_dumper_t类型指针

pheader为pcap_pkthdr结构体指针

packet是数据包

返回值：无返回值

使用示例：

fPcapUbyte = ct.cast(fPcap,ct.POINTER(ct.c_ubyte))
pcap.dump(fPcapUbyte,pheader,packet)

• dump_flush(handle)

功能：该函数用于将缓存的数据刷到磁盘

参数：

handle为pcap_dumper_t类型指针

返回值：错误码，0代表成功，-1代表出错

2.5 资源释放接口

• close(handle)

功能：释放pcap_t类型指针

参数：

handle为pcap_t类型指针

返回值：无返回值

• dump_close(handle)

功能：释放pcap_dumper_t类型指针

参数：

handle为pcap_dumper_t类型指针

返回值：无返回值

3、典型使用场景

3.1、网卡实时抓包

可以使用libpcap库进行网卡实时数据抓包，这里进行简单的示例：

1）首先需要获取或指定抓包设备

方法1 ：指定网卡接口名称

device = b'\Device\NPF_{BFDBF91E-9848-417D-B8AB-D3ED19990717}' # windows

device = b'eth0' # linux

Windows网卡接口名称可在wireshark的捕获界面看到，具体如下：

linux网卡名称获取：ifconfig

方法2 ：使用lookupdev获取网卡接口名称

device = pcap.lookupdev(errbuf)

方法3 ：使用findalldevs获取网卡接口名称

alldevs = ct.POINTER(pcap.pcap_if_t)()

pcap.findalldevs(ct.byref(alldevs), errbuf)

device =alldevs[0].name

2）使用open_live函数进行网卡抓包；

3）使用pkthdr函数创建header，获取包头信息（时间戳、包大小）；

4）使用next函数循环读取数据包，需要注意的是，获取的packet对象的contents是C语言类型，需要使用它ctypes的pointer函数进行转换；

5）数据包（比如IP头）的解析可使用struct的unpack函数；

6）如果要将抓包数据存盘，可使用dump_open、dump、dump_flush系列函数进行操作，需要注意的是，dump_open函数的第二个参数必须是byte类型；

示例代码及运行效果：

3.2、离线数据解析

可以使用libpcap库进行离线抓包文件的解析，这里进行简单的示例：

1）首先需要使用open_offline函数打开pcap文件，需要注意的是，函数的第一个参数必须是byte类型；

2）使用pkthdr函数创建header，获取包头信息（时间戳、包大小）；

3）使用next函数循环读取数据包，需要注意的是，获取的packet对象的contents是C语言类型，需要使用它ctypes的pointer函数进行转换；

4）数据包（比如IP头）的解析可使用struct的unpack函数；

示例代码及运行效果：

3.3、使用过滤条件抓包

网卡实时抓包和离线数据解析时，可以设置过滤条件，避免数据量过大。

过滤条件示例：

1） 过滤IP

• host 过滤某个ip的所有包

host 8.8.8.8

• src 过滤源ip

src 8.8.8.8

• dst过滤目的ip

dst 8.8.8.8

2）过滤端口

• port进行单个端口过滤

port 22

• portange进行多个端口过滤

portange 1-1024

• 可使用src或dst指定端口方向

src port 22

dst port 22

3）指定协议

tcp

udp

icmp

4）使用组合条件

• and 进行与逻辑

src localhost and dst port 22

src localhost && dst port 22

• or 进行或逻辑

port 80 or 22

port 80 ||. 22

Kod contoh dan kesan larian:

[Cadangan berkaitan: Tutorial video Python3 ]

Atas ialah kandungan terperinci Cara menggunakan perpustakaan libpcap untuk penangkapan paket dan pemprosesan data dalam python. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!