Función scapy y rdpcap

Question

Estoy usando la función rdpcap de Scapy para leer un archivo PCAP. También uso el módulo descrito en link to HTTP support in Scapy que es necesario en mi caso, ya que tengo que recuperar todas las solicitudes y respuestas HTTP y sus paquetes relacionados.

Me di cuenta de que al analizar un archivo PCAP grande la función rdpcap toma demasiado tiempo para leerla.

¿Hay una solución para leer un archivo pcap más rápido?

Answer 1

Aunque estoy de acuerdo en que el tiempo de carga es más largo de lo que cabría esperar, es probable porque el archivo se está analizando para generar una matriz de objetos altamente compuestos. Lo que tuve que hacer fue usar editcap para cortar las capturas de los paquetes y facilitar su lectura. Por ejemplo:

$ editcap -B 2013-05-2810:05:55 -i 5 -F libpcap inputcapture.pcap outputcapture.pcap 

Tenga en cuenta: una explicación completa de los interruptores de este comando está disponible here.

Además, la parte -F libpcap parecía ser necesaria (al menos para mí) para obtener la función pcap de scapy capaz de analizar el archivo. (Se supone que este es el formato de salida del archivo pcap predeterminado, pero este no fue el caso para mí, por la razón que sea. Puede verificar el tipo de archivo de entrada y salida con capinfos (por ejemplo, simplemente ingrese capinfos your_capture.pcap).

Tanto capinfos y editcap están disponibles con la distribución WireShark

Answer 2

Scapy tiene otro método sniff que se puede utilizar para leer el PCAP archivos demasiado:.

def method_filter_HTTP(pkt): 
    #Your processing 

sniff(offline="your_file.pcap",prn=method_filter_HTTP,store=0) 

rdpcap cargas de todo el archivo pcap a la memoria. H En realidad usa mucha memoria y, como dijiste, es lenta. Mientras que sniff lee un paquete a la vez y lo pasa a la función prn proporcionada. El parámetro store=0 garantiza que el paquete se elimine de la memoria tan pronto como se procese.