Python网络流量分析

要将IP地址和物理地址关联起来，可以使用MaxMind公司提供的免费获取的开源数据库GeoLiteCity。该数据库能够将IP地址与对应的国家、邮政编码、国家名称以及经纬度坐标进行关联。

为了使用该数据库，可以使用Jennifer Ennis编写的纯Python库pygeoip。该库可以查询GeoLiteCity数据库，获取包括城市、区域名称、邮政编码、国名、经纬度和其他识别信息在内的信息记录。

使用以下代码可以查询指定IP地址的物理位置信息并输出到控制台：

``` import pygeoip

gi = pygeoip.GeoIP("/opt/GetIP/Geo.dat")

def print_record(target): rec = gi.record_by_name(target) city = rec["city"] region = rec["region_name"] country = rec["country_name"] longitude = rec["longitude"] latitude = rec["latitude"] print("[*]Target:{}Geo-located.".format(target)) print("[+]{},{},{}".format(city, region, country)) print("[+]Latitude:{},Longitude:{}".format(lat, long))

target = "173.255.226.98" print_record(target) ```

若要逐个分析抓包文件中的数据包并检查每个协议层，可以使用Dpkt。与此同时，也可以使用pypcap分析实时流量。下面的代码演示了如何使用Dpkt进行包分析：

``` import dpkt import socket

def print_pcap(pcap): for ts,buf in pcap: try: eth = dpkt.ethernet.Ethernet(buf) ip = eth.data src = socket.inet_ntoa(ip.src) dst = socket.inet_ntoa(ip.dst) print("[+]Src:{}-->Dst:{}".format(src, dst)) except: pass

def main(): f = open("geotest.pcap") pcap = dpkt.pcap.Reader(f) print_pcap(pcap) ```

若要在谷歌地图上绘制指定位置或路径，可以使用KML结构。可通过创建KML文件并按照特定规则填入地理位置信息来将多个地理位置标记在谷歌地球上。下面的代码演示了如何编写一个名为`ret_KML`的函数，它能够接收一个IP地址并返回对应物理位置的KML结构：

``` def ret_kml(ip): rec = gi.record_by_name(ip) try: longitude = rec["longitude"] latitude = rec["latitude"] kml = ("" "%s" "" "%6f,%6f" "" "") % (ip, longitude, latitude) return kml except Exception: return "" ```

若要区分不同类型的网络流量，可以使用不同的图标表示。例如，可以使用源和目标TCP端口来区分不同的网络流量。有关谷歌KML文档，请参考官方文档。