Compter TCP retransmission dans pyshark

Question

Pour autant que je sache, pyshark est un wrapper Python pour tshark qui est la version en ligne de commande de Wireshark. Puisque Wireshark et tshark permettent de détecter TCP retransmission, je Je me demandais comment je pouvais faire cela en utilisant pyshark. Je n'ai pas trouvé de bonne documentation donc je ne sais pas si vous ne pouvez pas simplement faire ça, ou si je ne peux pas trouver la bonne façon. Merci!

Life is complex · Accepted Answer

Le code ci-dessous détecte TCP retransmissions dans pyshark

import pyshark ################################################### # these filters can be applied under LiveCapture # display_filter: A display (wireshark) filter to apply on the cap before reading it. # display_filter='tcp.analysis.fast_retransmission' # display_filter='tcp.analysis.retransmission' ################################################### capture = pyshark.LiveCapture(interface='en1', display_filter='tcp.analysis.fast_retransmission') capture.sniff(timeout=50) for packet in capture.sniff_continuously(packet_count=5): print ('Just arrived:', packet)

Il devrait afficher cela dans les paquets:

# display_filter='tcp.analysis.retransmission' TCP Analysis Flags Expert Info (Note/Sequence): This frame is a (suspected) retransmission This frame is a (suspected) retransmission # display_filter='tcp.analysis.fast_retransmission' TCP Analysis Flags This frame is a (suspected) fast retransmission This frame is a (suspected) retransmission Expert Info (Note/Sequence): This frame is a (suspected) fast retransmission Expert Info (Note/Sequence): This frame is a (suspected) retransmission

Si vous incluez only_summaries = True dans LiveCapture vous verrez quelque chose comme ceci:

Just arrived: 223 71.890878 fe80::cabc:c8ff:feec:d46d fe80::1416:1ca1:307c:b0e6 TCP 86 [TCP Spurious Retransmission] 59005 \xe2\x86\x92 49373 [FIN, ACK] Seq=1855 Ack=2365 Win=4096 Len=0 TSval=930665353 TSecr=692710576 Just arrived: 371 121.293913 fe80::1416:1ca1:307c:b0e6 fe80::cabc:c8ff:feec:d46d TCP 98 [TCP Retransmission] 62078 \xe2\x86\x92 59012 [SYN, ACK] Seq=0 Ack=1 Win=65535 Len=0 MSS=1440 WS=64 TSval=692717653 TSecr=930714614 SACK_PERM=1

Vous pouvez également filtrer ces paquets plus spécifiquement en appliquant la bpf_filter dans LiveCapture pour filtrer la TCP retransmission.

import pyshark capture = pyshark.LiveCapture(interface='en1', bpf_filter='ip and tcp port 443', display_filter='tcp.analysis.retransmission') capture.sniff(timeout=50) for packet in capture.sniff_continuously(packet_count=5): print ('Just arrived:', packet)

Voici une façon de lire un pcap avec pyshark:

capture = pyshark.FileCapture('test.pcap', display_filter='tcp.analysis.retransmission') counter = 0 for packet in capture: counter +=1 print ('*' * 10, f'Retransmission packet {counter}:', '*' * 10) # output ********** Retransmission packet 1: ********** ********** Retransmission packet 2: ********** ********** Retransmission packet 3: ********** ********** Retransmission packet 4: ********** ********** Retransmission packet 5: **********