使用scapy从pcap文件中提取有效负载中的特定字节

您想要TTL吗？

让我们从高处开始，然后向下移动。

Scapy正在为您提供构造好的数据包。如果需要数据包的TTL，请调用属性：

>>> plist[182].ttl
64

如果要获取数据包的特定字节，请看一下十六进制转储：

>>> hexdump(plist[182])
0000  AA BB CC 66 42 DE AA BB CC 3F 52 A3 08 00 45 00  .a.lM..M.AK...E.
0010  00 5B 58 B9 40 00 40 06 64 96 C0 A8 01 28 AC D9  .[X.@[email protected]....(..
...

这些以十六进制表示，第一个字段0000是偏移量，然后是16字节以十六进制表示，然后是ascii。

Offset  Bytes                                            ASCII
======  ===============================================  ================
0000    AA BB CC 66 42 DE AA BB CC 3F 52 A3 08 00 45 00  .a.lM..M.AK...E.

东西从0开始，因此第一行的字节地址为0..15。第二行偏移量是16（16 * 1）。因此字节地址为16..31。第三行，偏移量是32（16 * 2）。所以字节地址是32..47

您突出显示了第2行的第7个字节：

Offset Bytes                                            ASCII
       0  1  2  3  4  5  6  7  8  9  10 11 12 13 14 15
====== ===============================================  ================
0010   00 5B 58 B9 40 00 40 06 64 96 C0 A8 01 28 AC D9  .[X.@[email protected]....(..

那个地址是：

offset + byte_address.
offset = 16 * 1
byte_address = 6

哪个给我们：

16 + 6 = 22

这样，我们现在可以从原始数据包中获取字节地址22：

>>> b = raw(plist[182])
>>> b[22]
64

请注意，wireshark数据包编号从1开始。python中的数据包将从0开始。因此，在我的示例中，数据包182对应于Wireshark中的数据包183。

plist [182] .payload为您提供了数据包的IP部分，因此偏移量将有所不同，因为我们不再关注整个数据包了。我们可以使用'.ttl'属性获得相同的值。或者，知道地址是IP标头中的字节8：

>>> plist[182].payload.ttl
64
>>> raw(plist[182].payload)[8]
64