Wireshark抓包解析代码示例

以下是一个使用Python和Scapy库解析Wireshark抓包文件的示例代码，适用于.pcap或.pcapng格式的文件：

from scapy.all import *

def analyze_pcap(pcap_file):
    packets = rdpcap(pcap_file)
    for packet in packets:
        if packet.haslayer(IP):
            src_ip = packet[IP].src
            dst_ip = packet[IP].dst
            proto = packet[IP].proto
            print(f"Source IP: {src_ip}, Destination IP: {dst_ip}, Protocol: {proto}")

        if packet.haslayer(TCP):
            src_port = packet[TCP].sport
            dst_port = packet[TCP].dport
            print(f"TCP Ports: Source {src_port} -> Destination {dst_port}")

        if packet.haslayer(DNS):
            print(f"DNS Query: {packet[DNSQR].qname}")

analyze_pcap("capture.pcap")

关键功能说明

Scapy库提供对网络数据包的全面解析能力，支持从链路层到应用层的协议分析。上述代码实现了对IP、TCP和DNS层的解析。

安装Scapy可通过pip命令：

pip install scapy

扩展功能实现

对于需要深度解析特定协议的情况，可增加以下代码段：

if packet.haslayer(HTTPRequest):
    host = packet[HTTPRequest].Host
    path = packet[HTTPRequest].Path
    print(f"HTTP Request to {host}{path}")

if packet.haslayer(SSL):
    print("SSL/TLS Handshake detected")

数据统计功能

添加流量统计功能可帮助分析网络行为：

from collections import defaultdict

def traffic_analysis(pcap_file):
    packets = rdpcap(pcap_file)
    stats = defaultdict(int)
    
    for packet in packets:
        if packet.haslayer(IP):
            stats[packet[IP].proto] += 1
    
    print("Protocol Statistics:")
    for proto, count in stats.items():
        print(f"Protocol {proto}: {count} packets")

注意：实际运行需要安装必要的依赖库，且示例中的HTTPRequest解析需要额外插件支持。对于企业级应用，建议结合pyshark等库实现更复杂的分析功能。