python用sniff抓取报文后怎么存储

抓取的报文可以存储在文件中，可以使用Python的open函数打开一个文件，然后使用write函数将报文内容写入文件中。可以使用以下代码实现：

with open('packet.txt', 'w') as f:
    f.write(packet_content)

其中，'packet.txt'是待存储的文件名，packet_content是抓取到的报文内容。

相关问题

可以抓取、分析和显示以太网、IP、ICMP、TCP、UDP、HTTP等报文的首部的代码

可以使用Python中的Scapy库来实现抓取、分析和显示以太网、IP、ICMP、TCP、UDP、HTTP等报文的首部。以下是一个简单的示例代码：

from scapy.all import *

def packet_callback(packet):
    if packet[TCP].payload:
        mail_packet = str(packet[TCP].payload)
        if "user" in mail_packet.lower() or "pass" in mail_packet.lower():
            print("[*] Server: %s" % packet[IP].dst)
            print("[*] %s" % packet[TCP].payload)

sniff(filter="tcp port 110 or tcp port 25 or tcp port 143", prn=packet_callback, store=0)

上述代码使用Scapy库的sniff函数来捕获指定端口的报文，然后使用packet_callback函数来分析该报文的首部，并输出相关信息。这个例子展示了如何捕获和分析SMTP、POP3和IMAP协议的报文。你可以根据需要修改过滤条件和分析函数来适应其他协议或功能。

pyshark查看报文负载

PyShark是一个用于网络分析的Python库，它基于Wireshark数据包嗅探工具，让你能够轻松地捕获、分析和查看网络报文。如果你想查看Wireshark抓取的报文负载，也就是实际的数据内容，可以按照以下步骤操作：

1. 首先，你需要安装`pyshark`和`psutil`库（如果尚未安装）：

   pip install pyshark psutil

2. 导入必要的模块并开始捕获数据包：

   from pyshark import LiveCapture

   cap = LiveCapture(interface='eth0')  # 替换为你的网络接口名称
   packets = cap.sniff(packet_count=10)  # 指定想要捕获的包数

3. 对捕获的每个包，你可以访问其`payload`属性来查看实际的负载数据：

   for packet in packets:
       print("Packet:", packet.number)
       print("Payload:", packet.payload.hex())
       print("Decoded payload:", packet.load())  # 尝试解码文本信息

`payload.hex()`会显示十六进制格式的报文，`packet.load()`尝试对可识别的数据类型进行解码，如HTTP、TCP、UDP等。

4. 结束捕捉后记得关闭抓包：

   cap.close()