質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

ただいまの
回答率

90.86%

  • Python

    5889questions

    Pythonは、コードの読みやすさが特徴的なプログラミング言語の1つです。 強い型付け、動的型付けに対応しており、後方互換性がないバージョン2系とバージョン3系が使用されています。 商用製品の開発にも無料で使用でき、OSだけでなく仮想環境にも対応。Unicodeによる文字列操作をサポートしているため、日本語処理も標準で可能です。

  • Python 3.x

    4418questions

    Python 3はPythonプログラミング言語の最新バージョンであり、2008年12月3日にリリースされました。

  • Wireshark

    18questions

    Wireshark(ワイヤシャーク)は、ネットワーク・アナライザソフトウェアです。 IP、DHCPなど800以上のプロトコルを解析できる機能があり、 Windows、Linux、BSD、Mac OS Xなどで利用が可能です。

Pythonでバイナリファイル(pcap)をパースしたい

解決済

回答 2

投稿

  • 評価
  • クリップ 1
  • VIEW 192

Teppay

score 171

 前提・実現したいこと

  • pcapファイルをPythonのctypesを用いてパースしたいです.
  • ファイル構造なんかのお勉強,CTFの練習なので,あまり高等なライブラリは使いたくないです
  • Headerの内容によって,含まれるパケットが変わってしまう,さらにそれぞれのパケットのサイズも変化pcapファイルはどの様にパースしていくものなんでしょうか?
  • pcapのヘッダの情報はtcpdumpのmanpageを参考にしました.

 つまったところ

方針としては,PcapのHeaderにあたる冒頭の24バイトをまずパースして,Snapshot lengthをとりだして,それを元にして,それをSnapshotをパースするクラスに食わせようかと思っていたのですが,
そうすると,さらにパケットヘッダをパースして,それぞれのパケットの長さを取得して...という処理を順番にパケットに対してしなければいけません  
これはなんとなく煩雑というか,力技っぽく見えてしまうのですが,もうすこしスマートにはいかないものでしょうか?  
決してめんどくさいという意味ではなく,より良い方法があれば教えていただきたいです.

#!/usr/bin/env python3
# -*- coding: utf-8 -*-

from ctypes import *


class Pcap:
    def __init__(self, file_name):
        f = open(file_name,'rb')
        header = PcapHeader()
        f.readinto(header)
        snapshot_length = header.snapshot_length
        # ???????

class PcapHeader(Structure):
    """
    pcap header size : 24Bytes
    """
    __fields__ = (
        ('magic_number', c_uint32),
        ('major_version', c_uint16),
        ('minor_version', c_uint16),
        ('timezone_offset', c_int32),
        ('timestamp_accuracy', c_uint32),
        ('snapshot_length', c_uint32),
        ('link-layer_header_type', c_uint32)
    )


class PcapSnapshot(Structure):
    __fields__ = (
        # ??????????
    )
  • 気になる質問をクリップする

    クリップした質問は、後からいつでもマイページで確認できます。

    またクリップした質問に回答があった際、通知やメールを受け取ることができます。

    クリップを取り消します

  • 良い質問の評価を上げる

    以下のような質問は評価を上げましょう

    • 質問内容が明確
    • 自分も答えを知りたい
    • 質問者以外のユーザにも役立つ

    評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。

    質問の評価を上げたことを取り消します

  • 評価を下げられる数の上限に達しました

    評価を下げることができません

    • 1日5回まで評価を下げられます
    • 1日に1ユーザに対して2回まで評価を下げられます

    質問の評価を下げる

    teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。

    • プログラミングに関係のない質問
    • やってほしいことだけを記載した丸投げの質問
    • 問題・課題が含まれていない質問
    • 意図的に内容が抹消された質問
    • 広告と受け取られるような投稿

    評価が下がると、TOPページの「アクティブ」「注目」タブのフィードに表示されにくくなります。

    質問の評価を下げたことを取り消します

    この機能は開放されていません

    評価を下げる条件を満たしてません

    評価を下げる理由を選択してください

    詳細な説明はこちら

    上記に当てはまらず、質問内容が明確になっていない質問には「情報の追加・修正依頼」機能からコメントをしてください。

    質問の評価を下げる機能の利用条件

    この機能を利用するためには、以下の事項を行う必要があります。

回答 2

+2

バイナリのパースはctypesよりもstructの方をよく見かける気がします。

私はこう書きました。(バイトオーダーは確信がなかったので未指定にしています。)

あと処理してて思ったのはsnapshot_lengthではなくuntruncated_lengthでデータを拾えば良いような気がしました。(間違えているかもしれませんが。)

from collections import namedtuple
from struct import error as StructError
from struct import unpack


PerFileHeader = namedtuple("PerFileHeader",
                           "magic_number major_version minor_version "
                           "timezone_offset timestamp_accuracy "
                           "snapshot_length layer_header_type")
PerPacketHeader = namedtuple("PerPacketHeader",
                             "seconds microseconds_or_nanoseconds length "
                             "untruncated_length")


def parse(pcapfile):
    with open(pcapfile, "rb") as fp:
        yield PerFileHeader(*unpack("IHHIIII", fp.read(24)))
        while True:
            try:
                h = PerPacketHeader(*unpack("IIII", fp.read(16)))
            except StructError:
                break
            else:
                d = fp.read(h.untruncated_length)
                yield (h, d)


if __name__ == '__main__':
    pcap = parse("test.pcap")
    header = next(pcap)
    for header, data in pcap:
        print(header)

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2018/04/24 12:16 編集

    たしかにdpktでもstructを使っていますね.
    単純に"IIII"のような部分が直感的にわかりにくいかなと思ってひとまずctypesを選択したのですが,速度など他の部分で違いは有るんでしょうか
    ここで聞くのはおかしい気はしますが,,

    >あと処理してて思ったのはsnapshot_lengthではなくuntruncated_lengthでデータを拾えば良いような気がしました。(間違えているかもしれませんが。)
    ありがとうございますやってみます

    キャンセル

  • 2018/04/24 13:18

    ctypesはPythonの層が厚くてそんなに速くないイメージです。一方でstructはPythonの層は薄そうなので速いんじゃないかなぁと予想します。(参考:https://github.com/python/cpython/blob/master/Lib/struct.py)あと、"IIII"の部分はPythonをやってるとそれなりに理にかなって直感的だと感じるようになると思います。単純に速度を追い求めるならfp.read()で一気に全部メモリ上に載せてからmemoryviewで頑張るとか、Pythonの外でパースするとか、他の選択肢もあると思います。そんな状況の中でstructは速さと読みやすさの面で一番いいバランスなのでよく使われているように感じます。

    キャンセル

  • 2018/04/24 20:20

    なるほどです
    Python修行がたりないようなので、頑張ります!

    キャンセル

checkベストアンサー

0

dpktというライブラリのソースを見ると、その力技でやってるっぽい気が・・・。最後にイテレータにしているあたりの処理はなにかの参考になるかもしれません。
dpkt/pcap.py at master · kbandla/dpkt

参考:使い方が書いてあるページ
python + dpkt で pcap解析 - 1.読み込みから解析開始まで

投稿

編集

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2018/04/23 21:21

    質問に書いたとおり「高等なライブラリ」は使いたくなかったので、そっちは調べてませんでした。
    直接使わなくてもソースを読んでみるっていう使い方もできますね
    ありがとうございます!

    キャンセル

15分調べてもわからないことは、teratailで質問しよう!

  • ただいまの回答率 90.86%
  • 質問をまとめることで、思考を整理して素早く解決
  • テンプレート機能で、簡単に質問をまとめられる

関連した質問

同じタグがついた質問を見る

  • Python

    5889questions

    Pythonは、コードの読みやすさが特徴的なプログラミング言語の1つです。 強い型付け、動的型付けに対応しており、後方互換性がないバージョン2系とバージョン3系が使用されています。 商用製品の開発にも無料で使用でき、OSだけでなく仮想環境にも対応。Unicodeによる文字列操作をサポートしているため、日本語処理も標準で可能です。

  • Python 3.x

    4418questions

    Python 3はPythonプログラミング言語の最新バージョンであり、2008年12月3日にリリースされました。

  • Wireshark

    18questions

    Wireshark(ワイヤシャーク)は、ネットワーク・アナライザソフトウェアです。 IP、DHCPなど800以上のプロトコルを解析できる機能があり、 Windows、Linux、BSD、Mac OS Xなどで利用が可能です。