Разбор PPPoE-пакетов с dpkt

Question

Я пытаюсь получить информацию из 5-ти кортежей из списка файлов pcap с помощью библиотеки dpkt. Для того, чтобы анализировать пакеты PPPoE с VLAN тегов, я пишу коды, как это (для теста только):

import dpkt 
import socket 

def decode(pc): 
    for ts, pkt in pc: 
     eth = dpkt.ethernet.Ethernet(pkt) 
     pppoe = dpkt.pppoe.PPPoE(eth.data) 
     ip = pppoe.data 
     if ip.p == dpkt.ip.IP_PROTO_UDP: 
      udp = ip.data 
      yield(ip.src, udp.sport, ip.dst, udp.dport, ip.v) 
     else: pass 

def test(): 
    pc = dpkt.pcap.Reader(open('epon.pcap','rb')) 
    for src, sport, dst, dport, ip_version in decode(pc): 
     print "from", socket.inet_ntoa(src),":",sport, " to ",socket.inet_ntoa(dst),":",dport 

test() 

Оказывается, ошибка, которая означает, что синтаксический анализ является неправильным:

AttributeError: 'str' object has no attribute 'p' 

Так что надо правильно код как? Я начинающий Python, и исходный код dpkt действительно меня много озадачивает ...

Answer 1

У вас есть vlan внутри vlan (stacked vlan).

Не изменяя библиотеку dpkt, вам необходимо проанализировать вторую VLAN вручную.

Другая проблема, с которой вы столкнетесь, - это полезная нагрузка pppoe - ppp не ip.

Вы можете изменить свой код, чтобы что-то вроде этого:

import struct 

...

def decode(pc): 
for ts, pkt in pc: 
    eth = dpkt.ethernet.Ethernet(pkt) 
    if eth.type == dpkt.ethernet.ETH_TYPE_8021Q: 
     eth.tag, eth.type = struct.unpack('>HH', eth.data[:4]) 
     eth.data = eth.data[4:] 
    pppoe = dpkt.pppoe.PPPoE(eth.data) 
    ppp = pppoe.data 
    ip = ppp.ip 
    if ip.p == dpkt.ip.IP_PROTO_UDP: 
     udp = ip.data 
     yield(ip.src, udp.sport, ip.dst, udp.dport, ip.v) 
    else: pass