Scapy und rdpcap Funktion

Question

Ich verwende rdpcap Funktion von Scapy, um eine PCAP-Datei zu lesen. Ich benutze auch das Modul in einer link to HTTP support in Scapy beschrieben, die in meinem Fall benötigt wird, da ich alle HTTP-Anfragen und Antworten und ihre zugehörigen Pakete abrufen müssen.

Ich habe festgestellt, dass das Parsen einer großen PCAP-Datei die rdpcap Funktion zu viel Zeit braucht, um es zu lesen.

Gibt es eine Lösung, um eine pcap Datei schneller zu lesen?

Answer 1

Während ich stimme die Ladezeit ist länger als man erwarten könnte, ist es wahrscheinlich, weil die Datei analysiert wird, um ein Array von hoch zusammengesetzten Objekten zu generieren. Was ich tun musste, war editcap zu verwenden, um die Paketerfassungen zu zerhacken, um das Lesen etwas leichter zu machen. Zum Beispiel:

$ editcap -B 2013-05-2810:05:55 -i 5 -F libpcap inputcapture.pcap outputcapture.pcap 

Bitte beachten Sie: eine vollständige Erklärung der Schalter dieses Befehls here zur Verfügung steht.

Auch der -F libpcap Teil schien notwendig zu sein (zumindest für mich) zu scapy Funktion in der Lage, die Datei zu parsen. (Dies sollte das Standard-PPC-Dateiausgabeformat sein, aber das war für mich aus irgendeinem Grund nicht der Fall. Sie können den Dateityp Ihrer Eingabe- und Ausgabedateien mit capinfos überprüfen (z. B. einfach capinfos your_capture.pcap eingeben.)

Sowohl

capinfos und editcap sind mit der Wireshark Verteilung

Answer 2

scapy hat eine andere Methode sniff, die Sie verwenden können, die pcap zu lesen Dateien zu.

def method_filter_HTTP(pkt): 
    #Your processing 

sniff(offline="your_file.pcap",prn=method_filter_HTTP,store=0) 

rdpcap lädt die gesamte pcap-Datei in den Speicher. H Es braucht eine Menge Speicher und wie du gesagt hast ist es langsam. Während sniff liest ein Paket zu einem Zeitpunkt und übergibt es an die bereitgestellten prn Funktion. Dieser Parameter store=0 stellt sicher, dass das Paket aus dem Speicher gelöscht wird, sobald es verarbeitet wird.