PyShark入门(1)：简介

时间 2019-11-10

标签 pyshark 入门简介繁體版

原文原文链接

原文地址：http://zodiacg.net/2016/07/in...python

本系列文章译自thePacketGeek的系列文章。原创翻译，转载请注明出处。git

文章做者以PyShark为基础开发了Cloud-Pcap，一个相似CloudShark的pcap在线存储、分析工具。github

你能够使用PyShark在网络接口上进行嗅探，或者打开存储的pcap文件进行分析。如PyShark主页文档中展现的：网络

import pyshark

# 打开存储的捕获文件
cap = pyshark.FileCapture('/tmp/mycapture.cap')

# 从网络接口上进行捕获
capture = pyshark.LiveCapture(interface='eth0')
capture.sniff(timeout=10)
<LiveCapture (5 packets)>

使用 LiveCapture 或者 FileCapture 方法创建 Capture 对象后，在捕获（capture）和数据包（packet）层面就会有多个方法和属性可用。PyShark的强大在于能够调用tshark内建的全部数据包解码器。我这里只简单展现一下你能够作的一些事情，后续的文章中会展开更深刻的说明。app

获取数据包摘要（相似于tshark捕获的输出）函数

>>> for pkt in cap:
...:     print pkt
...:
2 0.512323 0.512323 fe80::f141:48a9:9a2c:73e5 ff02::c SSDP 208 M-SEARCH * HTTP/
3 1.331469 0.819146 fe80::159a:5c9f:529c:f1eb ff02::c SSDP 208 M-SEARCH * HTTP/
4 2.093188 0.761719 192.168.1.1 239.255.255.250 SSDP 395 NOTIFY * HTTP/1.  0x0000 (0)
5 2.096287 0.003099 192.168.1.1 239.255.255.250 SSDP 332 NOTIFY * HTTP/1.  0x0000 (0)

按层深刻获取数据包属性工具

>>> pkt.   #(tab auto-complete)
pkt.captured_length     pkt.highest_layer       pkt.ip                  pkt.pretty_print        pkt.transport_layer
pkt.eth                 pkt.http                pkt.layers              pkt.sniff_time          pkt.udp
pkt.frame_info          pkt.interface_captured  pkt.length              pkt.sniff_timestamp
>>>
>>> pkt[pkt.highest_layer].    #(tab auto-complete)
pkt_app.                 pkt_app.get_field_value  pkt_app.raw_mode         pkt_app.request_version
pkt_app.DATA_LAYER       pkt_app.get_raw_value    pkt_app.request
pkt_app.chat             pkt_app.layer_name       pkt_app.request_method
pkt_app.get_field        pkt_app.pretty_print     pkt_app.request_uri

遍历数据包，对每一个数据包使用给定函数处理性能

>>> cap = pyshark.FileCapture('test.pcap', keep_packets=False)
>>> def print_highest_layer(pkt)
...: print pkt.highest_layer
>>> cap.apply_on_packets(print_highest_layer)
HTTP
HTTP
HTTP
HTTP
HTTP
... (truncated)

这些只算是管中窥豹！谁能想到在Python脚本中使用tshark/Wireshark的强大力量会如此容易呢！
我如今发现的惟一缺陷是性能。一旦你开始处理几千个数据包，PyShark就开始变慢了。
后续文章中会说明须要那些措施来保留内存。.net

下一篇：PyShark入门(2): FileCapture和LiveCapture模块翻译

1. PyShark入门(4)：packet对象
2. PyShark入门(3)：capture对象
3. ASP.NET MVC 入门1 简介
4. （1）K8S入门及简介
5. Docker 入门 Docker简介（1）
6. Docker入门（1）-Docker简介
7. SpringCloud入门简介（1）
8. Nginx-1.简介入门
9. Entity Framework入门（1）---简介
10. SpringCloud入门1---简介
更多相关文章...
• Memcached入门教程 - NoSQL教程
• Scala 简介 - Scala教程
• Java Agent入门实战（一）-Instrumentation介绍与使用
• YAML 入门教程