使用python从pcaps生成ja3指纹。
pyja3的Python项目详细描述
ja3在ssl数据包上提供指纹识别服务。这是一个围绕ja3逻辑的python包装器,用于从输入pcap文件生成有效的ja3指纹。
开始
安装PYJA3模块:
^{tt1}$ or ^{tt2}$
使用PCAP文件测试或下载示例:
$(venv) ja3 –json /your/file.pcap
示例
样本PCAP的输出:
[ { "destination_ip": "192.168.1.3", "destination_port": 443, "ja3": "769,255-49162-49172-136-135-57-56-49167-49157-132-53-49159-49161-49169-49171-69-68-51-50-49164-49166-49154-49156-150-65-4-5-47-49160-49170-22-19-49165-49155-65279-10,0-10-11-35,23-24-25,0", "ja3_digest": "2aef69b4ba1938c3a400de4188743185", "source_ip": "192.168.1.4", "source_port": 2061, "timestamp": 1350802591.754299 }, { "destination_ip": "192.168.1.3", "destination_port": 443, "ja3": "769,255-49162-49172-136-135-57-56-49167-49157-132-53-49159-49161-49169-49171-69-68-51-50-49164-49166-49154-49156-150-65-4-5-47-49160-49170-22-19-49165-49155-65279-10,0-10-11-35,23-24-25,0", "ja3_digest": "2aef69b4ba1938c3a400de4188743185", "source_ip": "192.168.1.4", "source_port": 2068, "timestamp": 1350802597.517011 } ]
更改日志
2018-02-05
- 更改:将单个脚本移植到有效的python包
- 更改:重新分解代码以使其更干净并符合PEP8
- 更改:支持的python2和python3