从Python和impacket获取TCP数据包有效负载

Question

我已经能够使用基于此示例的代码找到感兴趣的数据包：

How can I filter a pcap file by specific protocol using python?

TCP数据包的下一个子数据包是实际数据：

   if isinstance(child1, TCP):
        if child1.get_th_dport() == 80:
           x = child1.child()
           print x

这会像wire shark一样打印出数据包数据，并显示十六进制和ascii版本。然而，到目前为止，我还无法找到一种简单的方法来获得十六进制的内容。我知道我可以操作可打印的输出，但我想肯定有一种方法可以获得十六进制形式的数据……

我已经看过样本了，但似乎都没有做到这一点。有谁知道正确的路吗？

Answer 1

您可以使用packet.get_data_as_string()获取原始字节，然后随心所欲地显示它。我已经复制了print child生成的“十六进制列”输出。应该很容易调整以生成ASCII列：

def display_hex(pkt, cols=8):
    size = cols * 4
    data = ''.join('%02x' % ord(b) for b in pkt.get_data_as_string())
    for i in range(0, len(data), size):
        for j in range(0, size, 4):
            print data[i+j:i+j+4],
        print

if isinstance(child, TCP):
    display_hex(child)

输出：

1703 0103 b0b1 9387 be4e fe00 9230 6192
e3bb 217e c1cb 8511 556f f986 4f31 542d
15c6 f42e f3bb 93d5 cf33 f126 c174 dbc4
... snip ...
8b1d 8707 96d6 7a18 2aab fd0b 48ee c4eb
b7d8 a67f 8bc0 597d 1044 a076 1a9e 24ba
959b fda3 1adb 2384 669c e6c8 c3b5 bef4
1189 eda8 3e