Определите сервер с прямым IP-адресом с помощью Wireshark ⇐ Python

[Anonymous]

Я пытаюсь идентифицировать сервер, с которым осуществляется прямая связь по IP, из трассировки сети PCAP. Я новичок в использовании Wireshark и анализе сетевых данных, поэтому мне сложно разобраться во всех данных трассировки.
Я пробовал фильтровать трассировку с помощью !( dns) && ip и анализируем IP-адреса вручную, но их слишком много. Я пытался обнаружить сообщения «клиентского приветствия» без SNI, но не нашел ни одного.
Я также пробовал использовать некоторые сценарии Python, но получил взамен много «подозрительных» IP-адресов.В итоге я отфильтровал трассировку с помощью:

Код: Выделить всё

tshark -r x.pcap -T fields -e ip.dst > contacted_ips.txt
tshark -r x.pcap -Y "dns" -T fields -e dns.a > dns_ips.txt

Для идентификации IP-адресов без подключения к DNS-запросу.

Код: Выделить всё

import hashlib

with open("dns_ips.txt") as f:
dns_ips = set(line.strip() for line in f if line.strip())

with open("contacted_ips.txt") as f:
contacted_ips = set(line.strip() for line in f if line.strip())

direct_ips = contacted_ips - dns_ips

Мне нужно знать, как фильтровать трассировку с помощью Wireshark, чтобы иметь возможность идентифицировать IP-адрес. Кроме того, как я могу это определить? Другой вариант: как мне изменить скрипт Python? Есть ли другой способ сделать это на Python?

Подробнее здесь: https://stackoverflow.com/questions/791 ... -wireshark