scapy解析pcap文件

针对wireshark或者tcpdump捕获的文件，使用python中的scapy库可以非常方便的进行解析，但是也存在一些坑。
scapy是一个非常强大的流量包操作工具，可以针对请求或者响应从tcp/Ip的各层进行处理，官方网址为：https://scapy.net。
但是需要注意一点的是单独的scapy库能做的工作有限，还有2个必须引进的库，即针对https进行解析的# scapy-ssl_tls，和针对http进行解析的# scapy-http

安装

这三个库最好在linux下进行安装，python的版本最好选择python2.7。
然后首先安装scapy-ssl_tls这个库，优先选择pip的安装方式：

pip install scapy-ssl_tls

它会自动安装上相应的依赖库，包括scapy。
最后安装上scapy-http即可，如果不按照这个方式安装，在安装scapy-ssl_tls可能会失败。

使用

scapy以及其他2个库都是开源软件，文档很少，如果要查看用法基本上都是直接查看代码，但是这3个库的源码包里都存在examples目录，里面有大量的例子，参照这些例子可以实现自己的逻辑。
下面列出一个关键的函数，参照这些函数可以基本上实现大部分逻辑。

rdpcap()：读取pcap文件
show()：展示当前类型包含的属性及值
haslayer()：判断当前流是否含有某层数据
getlayer()：根据条件获取数据

下面是解析pcap获取tls扩展的例子：

def processCap(fileName):
    packet=rdpcap(fileName)
    res_key=os.path.basename(fileName)
    res={}
    extenList=[]
    #only process client hello packet
    for item in packet:
        if item.haslayer(TLSClientHello):
            clienthello = item.getlayer(TLSClientHello)
            if clienthello.haslayer(TLSExtension):
                extnum=len(clienthello.extensions)
                #print "clienthello:"
                #print clienthello.show()
                for i in range(1,extnum+1):
                    extension = clienthello.getlayer(TLSExtension,i)
                    #print "extension:"
                    #print extension.show()
                    exten = '{:04x}'.format(extension.type)
                    extenList.append(exten)
                    #only process the first client hello
            break
    res[res_key] = extenList
    return res