【发布时间】:2023-03-12 11:20:02
【问题描述】:
我们得到了一个 PCAP 文件,我的工作是找到:
在用户被感染/攻击之前,他们使用流行的搜索引擎(不是谷歌)来搜索一些信息。使用 Python 找出 1) 哪个搜索引擎和 2) 他们使用哪些关键字进行此类搜索。 3) 搜索引擎推荐了哪个网站,4) 用户实际访问了哪个网站?
通过在Wireshark上打开PCAP文件,我已经找到正确答案是:Bing
虽然我仍然无法确定第 2、3 和 4 部分
但这显然不是赋值的目的,因为我必须使用 Python 来返回信息
我目前的代码是:
pcapfile = open('nameofpcapfile.pcap', 'rb')
x = pcapfile.read()
decoded = x.decode("iso-8859-1")
searchengines = ["www.google.com", "www.yahoo.com", "www.ask.com", "www.bing.com",
"www.aol.com", "www.baidu.com", "www.wolframalpha.com",
"www.duckduckgo.com", "www.yandex.ru"]
searchenginesfound = []
for i in searchengines:
if i in decoded:
searchenginesfound.append(i)
if searchenginesfound.__len__() == 0:
print("Search engine not found")
elif searchenginesfound.__len__() == 1:
print("Search Engine used: ", searchenginesfound)
elif searchenginesfound.__len__() > 1:
print("Search Engines used: ", searchenginesfound)
此代码能够成功返回 bing.com 作为所使用的搜索引擎。但是,我不知道如何处理第 2、3 和 4 部分
有什么建议吗?
【问题讨论】:
-
使用
pcapq应用程序。它对 pcap 文件运行查询。
标签: regex python-3.x expression pcap regular-language