Hallo zusammen,
ich bin neu in diesem Forum, zumindest in aktiver Form. Lesend bin ich schon länger dabei, aber jetzt komme ich mit einem Problem nicht weiter und hoffe, dass ihr mir helfen könnt.
Bisher programmiere ich mehr oder weniger erfolgreich, wollte mich jetzt aber mal mit einem richtigen Programm auseinandersetzen. Ich bin beruflich im Netzwerkbereich tätig und stoße hier immer wieder auf ein Problem, welche sich jetzt mit Python lösen möchte.
Ich möchte ein Programm schreiben, was eine pcap-Datei einliest (die Datei habe ich mit wireshark aufgezeichnet), und diese Datei nach bestimmten Dingen durchsuchen. Zum Beispiel, welche IP-Adresse in DNS-Antworten enthalten sind.
Ich könnte dies natürlich auch mit wireshark (oder tshark) auslesen, aber ich möchte mein Programm ja erweitern und daher sollte es schon irgendwie mit Python funktionieren.
Ich habe mit scapy rumprobiert, aber bringt ich die sogenannte Dokumentation vollkommen um den Verstand, oder ich habe noch nicht die richtige Dokumentation gefunden.
python-libpcap habe ich auch gefunden, hier fehlt mir aber auch die Hilfe ... irgendwie.
Mein letzter Ansatz war mit subprocess auf tshark zuzugreifen ... viel beknackter kann man es wohl auch nicht mehr angehen, oder?
Vielleicht kann mir daher einer sagen, wie das ganze Prinzip besser funktionieren könnte. Wenn noch Infos fehlen, sagt Bescheid.
Gruß
itf
pcap-Dateien einlesen
Hallo itf,
ich hab zwar keine Ahnung, was eine pcap-Datei überhaupt ist und wie sie so aussieht, aber ich hab noch folgende Sachen gefunden, vllt. helfen sie dir ja:
Gruß, Micha
ich hab zwar keine Ahnung, was eine pcap-Datei überhaupt ist und wie sie so aussieht, aber ich hab noch folgende Sachen gefunden, vllt. helfen sie dir ja:
- pypcapfile 0.8.1 (auf pypi | auf github)
einfach über pip installierbar, allerdings gibts seit knapp 1 Jahr kein Update mehr und es scheint nicht sehr umfangreich zu sein (vllt. reicht's ja?) - py-greppcap (auf google code)
vielleicht das viel versprechenste: Ein Python Programm zum Lesen von Daten in Pcap-Dateien mittels Regulären Ausdrücken. Auf der Google Code Seite steht, dass es import-freundlich ist. Mehr dazu in der Usage-Dokumentation und in greppcap.GrepPcap.__doc__ - pypcap (auf googel code)
Hab ich in zwei Antworten auf stackoverflow gefunden, dort wurde mit pypcap und dpkt gearbeitet. Allerdings ist die Projekt Homepage und die Stackoverflow-Links auch schon alles, was es an Doku zu pypcap gibt. Zu dpkt gibts mehr Dokumentation
Gruß, Micha
Hallo micha,
Danke für deine Antwort. Ich habe mit deinen Vorschlägen ein wenig in den letzten Tagen rumprobiert, deswegen hat es etwas länger gedauert.
Greppcap basiert größtenteils wieder aufs scapy, was mich wieder zu der besch... Doku führt. Trotzdem scheint es mir das beste zu sein, was aktuell verfügbar ist.
Ich versuche mal weiter mein Glück.
Gruß
Itf
Danke für deine Antwort. Ich habe mit deinen Vorschlägen ein wenig in den letzten Tagen rumprobiert, deswegen hat es etwas länger gedauert.
Greppcap basiert größtenteils wieder aufs scapy, was mich wieder zu der besch... Doku führt. Trotzdem scheint es mir das beste zu sein, was aktuell verfügbar ist.
Ich versuche mal weiter mein Glück.
Gruß
Itf