使用tcpdump,我正在捕获网络流量。我有兴趣提取实际的TCP有效载荷数据,即在我的特定情况下的HTTP流量。
我尝试使用scapy实现这一目标,但我只找到了函数remove_payload()。有相应的对应物吗?或者您知道提供此类功能的任何其他工具吗?
不幸的是,我没有找到令人满意的scapy文档。
答案 0 :(得分:4)
如果其他用户可能有类似的问题:我最终使用以下脚本:
infile=infile.pcap
outfile=outfile
ext=txt
rm -f ${outfile}_all.${ext}
for stream in $(tshark -nlr $infile -Y tcp.flags.syn==1 -T fields -e tcp.stream | sort -n | uniq | sed 's/\r//')
do
echo "Processing stream $stream: ${outfile}_${stream}.${ext}"
tshark -nlr $infile -qz "follow,tcp,raw,$stream" | tail -n +7 | sed 's/^\s\+//g' | xxd -r -p | tee ${outfile}_${stream}.${ext} >> ${outfile}_all.${ext}
done
答案 1 :(得分:1)
您可以使用rdpcap轻松阅读带有Scapy的pcap,然后您可以使用数据包的Raw(位于TCP上方)层来播放HTTP内容:
from scapy.all import *
pcap = rdpcap("my_file.pcap")
for pkt in pcap:
if Raw in pkt:
print pkt[Raw]