遇到一个困扰了很久的问题:
一个pcap文件中包含了各种类型的报文(比如DNP3、DHCP、DNS、TCP、IP、MQTT、MODBUS等等)
需要将这个文件中的报文按照协议类型进行分组,将属于同一个协议的报文分在一起。
我之前遇到这种情况都是通过wireshark按类型导出就可以了。
但是现在这个pcap文件很大,用wireshark打开基本软件就卡住了(文件500多g),所以想通过代码的方式进行划分。
使用的工具就是scapy,但是存在的问题就是每一条报文都是层层封装的,通过scapy没办法读取最里层的协议类型,也就没办法进行分组.
**所以想问一下大佬们有什么好的办法吗?或者有什么工具吗?**