Python dpkt无效tcpdump标头错误
我收到ValueError:以下代码的tcpdump头错误无效。谢谢你的帮助Python dpkt无效tcpdump标头错误,python,parsing,pcap,libpcap,Python,Parsing,Pcap,Libpcap,我收到ValueError:以下代码的tcpdump头错误无效。谢谢你的帮助 import dpkt f = open('a.pcap') pcap = dpkt.pcap.Reader(f) for ts, buf in pcap: eth = dpkt.ethernet.Ethernet(buf) ip = eth.data tcp = ip.data if tcp.dport == 80 and len(tcp.data) > 0: http =
import dpkt
f = open('a.pcap')
pcap = dpkt.pcap.Reader(f)
for ts, buf in pcap:
eth = dpkt.ethernet.Ethernet(buf)
ip = eth.data
tcp = ip.data
if tcp.dport == 80 and len(tcp.data) > 0:
http = dpkt.http.Request(tcp.data)
print http.uri
f.close()
Traceback (most recent call last):
File "malcap.py", line 6, in <module>
pcap = dpkt.pcap.Reader(f)
File "/usr/lib/python2.7/site-packages/dpkt/pcap.py", line 104, in __init__
raise ValueError, 'invalid tcpdump header'
ValueError: invalid tcpdump header
回溯(最近一次呼叫最后一次):
文件“malcap.py”,第6行,在
pcap=dpkt.pcap.Reader(f)
文件“/usr/lib/python2.7/site packages/dpkt/pcap.py”,第104行,在__
raise VALUE错误,“无效的tcpdump标头”
ValueError:无效的tcpdump标头
手动tcpdumpelif self.__fh.magic != TCPDUMP_MAGIC:
raise ValueError, 'invalid tcpdump header'
hexdump test1.pcap 0000000 0a 0d 0d 0a
- 这就是我们想要的
editcap -F libpcap -T ether test.pcapng test.pcap
bash-3.2$ hexdump test.pcap 0000000 0a 0d 0d 0a
tcpdump -w test.pcap
hexdump test.pcap
tcpdump -w test.pcap -i en0
bash-3.2$ hexdump test.pcap 0000000 d4 c3 b2 a1 02
您是否尝试过使用任何其他工具(如Wireshark)打开pcap文件以确认其有效且未损坏?是,尝试过。它与wireshark一起工作“它与wireshark一起工作”并不意味着“它是一个pcap文件”;例如,它可能是一个pcap ng文件,较新版本的libpcap可以读取该文件,但较旧版本的libpcap和用于读取pcap文件的手写代码不能读取该文件。在Wireshark中,转到Statistics->Summary,查看“Format:”所说的内容。Mavericks tcpdump手册页还提到将pcap ng用于“pktap”伪接口,以及默认情况下在“内核定义的一组接口”上进行捕获。不幸的是,它并不费心告诉您,这意味着默认情况下,它在pktap伪接口上捕获,因此默认情况下会写出一个pcap ng文件。(也就是说,bug在文档中,而不是代码中。)嗯,即使指定了接口,我仍然得到
pcap ngeditcapdumpcaptcpdump -w test.pcap -i en0
bash-3.2$ hexdump test.pcap 0000000 d4 c3 b2 a1 02