这个是我研究生的计算机网络作业,关于解析pcap文件,来做分析,下面是作业的说明
网络编程题目 使用任何一种编程语言完成以下任务:
将wireshark抓取的网络数据包保存成pcap格式的trace文件,做程序完成对trace文件中的数据包的报文属性进行修改,包括修改指定数据包的源、目标IP地址,源、目标端口号,传输层协议类型、MAC地址、时间戳、数据负载部分特定偏移量的数据内容。查找包含特定字符的包。
对多个抓取trace文件进行如下操作:第一,合并,即直接将多个trace文件按给定顺序不做修改直接合并成一个,第二,连接,即将多个trace文件按trace文件内时间戳顺序,后一个文件的开始时间修改成前一个trace文件结束时间,以此类推,然后合并成一个文件,第三,拼接,即将多个文件按指定时间顺序和指定时间间隔(间隔可以统一也可以不一致)进行时间调整后再进行合并,注意此时已经打乱原来trace文件原有的时间戳顺序,文件可随意拼接,但时间段并不重合,第四,融合,即将trace文件的时间戳人为修改为同一时间段,时间段重合,让并不是同时产生的数据流变为同时发生,最后将改便后的数据文件保存成新的trace文件。
图形化上述操作trace文件过程,即可图形化界面修改报文属性,并可同时打开上述多个trace文件,并把trace文件用时间线上的位置来表示,不同文件用不同颜色,并显示合并、连接、拼接、融合效果。
对traces文件成流,统计形成流的流特征,包括每个流的包个数、持续时间,最大、最小包的字节数,平均包大小,包到达间隔最大最小值,平均包到达间隔、等等。可参考Discriminators for use in flow-based classification,Andrew Moore etc文章提出的249个流特征,做得越多越好。以五元组(源目标IP,源目标端口、协议类型)为索引,输出流文件,可以单向流,也可以双向流,做成可选项。每一行为一个流,后面是上述流特征,用空格分开。第一行标题标注特征属性名称。
5.对生成的流文件按特征进行统计分析,如按IP地址、按主机、按流量大小分析画图,饼图、柱状图、折线图、雷达图均可,可单独做一个程序,也可以合并到一个程序内实现。