在使用 load_layer("tls") 后正常情况下就可以解析TLS数据包了,但是还是存在一些TLS数据包无法解析,然后目前在网上也没有找到相应的解决办法。
观察无法解析的TLS数据包,和能解析的TLS数据包进行比较:他们的TLS数据部分相同,唯一不同的就是端口号。因此,猜想:如果是HTTPS常见的端口号443,则能解析,如果不是HTTPS常见的端口号(8443),则不能解析。
测试一下猜想对不对使用winhex打开,将8443(20FB)修改成443(01BB),保存后再使用scapy解析,发现就能成功解析。猜想正确。
修改port的代码:from scapy.all import *
from scapy.utils import PcapReader
import os
def tls(file):
filepath = path +dir+ '/' + file
print(filepath)
pkt_list=[]
packets = PcapReader(filepath)
while 1:
try:
pkt = packets.read_packet()
except:
break
if pkt.sport==8443:
pkt.sport=443
elif pkt.dport==8443:
pkt.dport=443
pkt_list.append(pkt)
wrpcap(path+dir+'/'+file, pkt_list)
load_layer("tls")
path = "./pcap/try/"
dirs = os.listdir(path)
all=0
web_c={}
for dir in dirs:
if '.' in dir:
continue
files=os.listdir(path+dir)
for file in files:
if ".pcap" in file:
tls(file)
