使用python解码tcp包

时间:2010-02-02 13:04:32

标签: python string tcp decoding packets

我正在尝试解码通过tcp连接接收的数据。数据包很小,不超过100个字节。然而,当它们中有很多时我会收到一些连接在一起的数据包。有没有办法防止这种情况发生。我正在使用python

我试图将数据包分开,我的来源如下。数据包以STX字节开头,以ETX字节结束,STX后面的字节是数据包长度(数据包长度小于5无效)校验和是ETX之前的最后一个字节

def decode(data):
  while True:
    start = data.find(STX)
    if start == -1: #no stx in message
        pkt = ''
        data = ''
        break
    #stx found , next byte is the length
    pktlen = ord(data[1])
    #check message ends in ETX (pktken -1) or checksum invalid
    if pktlen < 5 or data[pktlen-1] != ETX or checksum_valid(data[start:pktlen]) == False:
        print "Invalid Pkt"
        data = data[start+1:]
        continue
    else:
        pkt = data[start:pktlen]
        data = data[pktlen:]
        break

return data , pkt

我像这样使用它

#process reports
try:
    data = sock.recv(256) 
except: continue 
else:
    while data:
        data, pkt = decode(data) 
        if pkt:
           process(pkt)

此外,如果数据流中有多个数据包,最好将数据包作为列表集合返回,还是只返回第一个数据包

我不熟悉python,只有C,这个方法可以。任何建议都将非常感激。提前致谢

由于

5 个答案:

答案 0 :(得分:5)

我会创建一个负责解码流的数据包的类,如下所示:

class PacketDecoder(object):

    STX = ...
    ETX = ...

    def __init__(self):
        self._stream = ''

    def feed(self, buffer):
        self._stream += buffer

    def decode(self):
        '''
        Yields packets from the current stream.
        '''
        while len(self._stream) > 2:
            end = self._stream.find(self.ETX)
            if end == -1:
                break

            packet_len = ord(self._stream[1])
            packet = self._stream[:end]
            if packet_len >= 5 and check_sum_valid(packet):
                yield packet
            self._stream = self._stream[end+1:]

然后像这样使用:

decoder = PacketDecoder()
while True:
    data = sock.recv(256) 
    if not data:
        # handle lost connection... 
    decoder.feed(data)
    for packet in decoder.decode():
        process(packet)

答案 1 :(得分:4)

TCP在接口级别提供数据流,而不是单个数据包。如果你想要离散数据包,你可以使用UDP(并自己处理丢失或乱序的数据包),或者将一些数据分隔符内联。听起来你已经这样做了,STX / ETX作为你的分隔符。但是,正如您所注意到的,您在TCP堆栈的一个数据块中收到多条消息。

请注意,除非您正在进行其他处理,否则您显示的代码中的data不一定包含完整数量的消息。也就是说,最后一个STX很可能没有匹配的ETX。 ETX将在没有STX的下一个data块中。

您可能应该从TCP数据流中读取单个消息,并在它们发生时将其返回。

答案 2 :(得分:3)

尝试scapy,一个强大的交互式数据包操作程序。

答案 3 :(得分:0)

数据来自哪里?不要试图手工解码,为什么不使用优秀的Impacket包:

http://oss.coresecurity.com/projects/impacket.html

答案 4 :(得分:0)

美好而简单...... :) 诀窍在于file对象。

f=sock.makefile()
while True:
  STX = f.read(1)
  pktlen = f.read(1)
  wholePacket = STX + pktlen + f.read(ord(pktlen)-2)
  doSomethingWithPacket(wholePacket)

就是这样!(使用TCP时也无需检查校验和。)

这是一个更“强大”的(?)版本(它使用STX和校验和):

f=sock.makefile()
while True:
  while f.read(1)!=STX:
    continue
  pktlen = f.read(1)
  wholePacket = STX + pktlen + f.read(ord(pktlen)-2)
  if checksum_valid(wholePacket):
    doSomethingWithPacket(wholePacket)