1 pyshark库

支持wireshark的解析等。

安装pyshark

pip install pyshark

2 dpkt库

这也是一个用于分析pcap文件的库，是所有分析pcap库中最快的一个。

官方参考文档：
https://dpkt.readthedocs.io/en/latest/print_packets.html
https://dpkt.readthedocs.io/en/latest/examples.html#examples-in-dpkt-examples

安装

pip install dpkt

3 应用实例

dpkt读pcap文件

python">f = open('new1.pcap','rb')
pcap = dpkt.pcap.Reader(f)
# ts是timestemp时间戳，buf（二进制数据）是主体的数据包信息。
for ts,buf in pcap:pass

获取每个数据包的ip地址

python">#由buf这个二进制数据转化为Ethernet类的对象
eth = dpkt.ethernet.Ethernet(buf)ip_src = eth.data.src #这里是获取这个数据包的源ip
#要注意的是，这里的源ip是以二进制的方式返回的，如果我们要获取点分十进制的ip地址
#可以这样做
def inet_to_str(inet):try:return socket.inet_ntop(socket.AF_INET,inet)except:return False#这里因为具体需要把IPv6给丢弃了#如果希望IPv6也能获取可以这样#return socket.inet_ntop(socket.AF_INET6,inet)
ip_src = inet_to_str(eth.data.src)
ip_dst = inet_to_str(eth.data.dst)#目的ip\

获取报文中的ip

python">#coding=utf-8
import dpkt
import socket
import timedef inet_to_str(inet):try:return socket.inet_ntop(socket.AF_INET,inet)except:return Falsedef getip():f = open('new1.pcap','rb')#要以rb方式打开，用r方式打开会报错pcap = dpkt.pcap.Reader(f)for ts,buf in pcap:print(ts)打印时间戳eth=dpkt.ethernet.Ethernet(buf)#这里也是对没有IP段的包过滤掉if eth.type != dpkt.ethernet.ETH_TYPE_IP:continueip = eth.dataip_src = inet_to_str(ip.src)ip_dst = inet_to_str(ip.dst)print(ip_src+'-->'+ip_dst)if __name__=='__main__':
getip()

修改报文中的源ip和目的

python">import dpkt
import os
import sockettest = open("new.pcap","wb")
writer = dpkt.pcap.Writer(test)
f=open("old.pcap",'rb')
packets = dpkt.pcap.Reader(f)
for ts,buf in packets:eth = dpkt.ethernet.Ethernet(buf)# 这里是将点分十进制转化成二进制eth.data.src = socket.inet_pton(socket.AF_INET, "192.168.1.1")eth.data.dst = socket.inet_pton(socket.AF_INET, "192.168.1.2")writer.writepkt(eth,ts=ts)#不加ts参数，数据包时间戳会默认为当前时间test.flush()
test.close()