python 解析pcap数据长度_dpkt 全包长度

笔者在项目上需要验证计算的流量是否正确，然而wireshark 1.10版本查看并不准确，所以利用python来统计tcp真实数据包长。

# -*- coding: UTF-8 -*-
import dpkt
import collections  # 有序字典需要的模块
import time
 
 
def main(file_path):
    f = open(file_path, 'rb') #python3
 
    tcp_len = 0 #tcp包长度
    pcap = dpkt.pcap.Reader(f)  # 先按.pcap格式解析，若解析不了，则按pcapng格式解析
 
    all_pcap_data = collections.OrderedDict()  # 有序字典
 
    for (ts, buf) in pcap:
            try:
                eth = dpkt.ethernet.Ethernet(buf)  # 解包，物理层
                if not isinstance(eth.data, dpkt.ip.IP):  # 解包，网络层，判断网络层是否存在，
                    continue
                ip = eth.data
                if not isinstance(ip.data, dpkt.tcp.TCP):  # 解包，判断传输层协议是否是TCP，即当你只需要TCP时，可用来过滤
                    continue
                # if not isinstance(ip.data, dpkt.udp.UDP):#解包，判断传输层协议是否是UDP
                # 	continue
                transf_data = ip.data  # 传输层负载数据，基本上分析流量的人都是分析这部分数据，即应用层负载流量
                if not len(transf_data.data):  # 如果应用层负载长度为0，即该包为单纯的tcp包，没有负载，则丢弃
                    continue
                all_pcap_data[ts] = transf_data.data  # 将时间戳与应用层负载按字典形式有序放入字典中，方便后续分析.
                tcp_len += len(transf_data.data)
            except Exception as err:
                    print
                    "[error] %s" % err
 
    f.close()
        # 验证结果，打印保存的数据包的抓包以及对应的包的应用层负载长度
 
    print(tcp_len)
 
if __name__ == '__main__':
    file_path = "./82.pcap"
    main(file_path)
 

后面安装wireshark2.6或者3.0以上版本，其实是可以查看长度的