IT数码 购物 网址 头条 软件 日历 阅读 图书馆
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
图片批量下载器
↓批量下载图片,美女图库↓
图片自动播放器
↓图片自动播放器↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁
 
   -> 网络协议 -> TCP会话交互用时详细分析(PCAP版) -> 正文阅读

[网络协议]TCP会话交互用时详细分析(PCAP版)

版本:
? ? V 1.0
主要功能:
? ? 用于分析TCP交互过程中的用时信息,找出网络卡慢原因
前置操作:
? ? 安装 python3.x 环境
? ? 通过tcpdump或wireshark等抓包软件抓包并另存为PCAP文件格式
? ? 在程序末尾设置:
? ? ? ? 日志文件存放目录位置
? ? ? ? PCAP文件或存放多个PCAP文件的目录位置
? ? ? ? 拆分PCAP文件时存放的目录位置
TCP用时分析包含:
? ? 客户端发送请求的传输用时(有多个数据包时计算传输完成用时)
? ? 服务端对客户端请求进行处理的计算用时(服务端处理速度)
? ? 服务端处理完后返回响应数据的传输用时(有多个数据包时计算传输完成用时)
? ? 客户端发起多个请求之间的间隔用时(如:等待用户输入、等待其他进程先完成)
? ? 客户端原因长时间等待保持连接用时(Keep-Alive)
? ? 服务端原因长时间等待保持连接用时(Keep-Alive)
? ? 客户端接收服务器响应数据包时缓冲区满造成等待用时(Windows=0)
? ? 服务端接收客户端请求数据包时缓冲区满造成等待用时(Windows=0)
? ? 会话超时被强制终止前的用时(未完成)
UDP用时分析包含:
? ? 未完成
额外功能:
? ? 画流量图(精确到秒)需要先安装 matplotlib 模块
? ? 从PCAP文件(或存放多个PCAP文件的目录中)中提取指定会话的数据


import socket, struct, os, time
from binascii import b2a_hex, a2b_hex
import logging
import re



ReadMe = '''
版本:
    V 1.0
主要功能:
    用于分析TCP交互过程中的用时信息,找出网络卡慢原因
前置操作:
    安装 python3.x 环境
    通过tcpdump或wireshark等抓包软件抓包并另存为PCAP文件格式
    在程序末尾设置:
        日志文件存放目录位置
        PCAP文件或存放多个PCAP文件的目录位置
        拆分PCAP文件时存放的目录位置
TCP用时分析包含:
    客户端发送请求的传输用时(有多个数据包时计算传输完成用时)
    服务端对客户端请求进行处理的计算用时(服务端处理速度)
    服务端处理完后返回响应数据的传输用时(有多个数据包时计算传输完成用时)
    客户端发起多个请求之间的间隔用时(如:等待用户输入、等待其他进程先完成)
    客户端原因长时间等待保持连接用时(Keep-Alive)
    服务端原因长时间等待保持连接用时(Keep-Alive)
    客户端接收服务器响应数据包时缓冲区满造成等待用时(Windows=0)
    服务端接收客户端请求数据包时缓冲区满造成等待用时(Windows=0)
    会话超时被强制终止前的用时(未完成)
UDP用时分析包含:
    未完成
额外功能:
    画流量图(精确到秒)需要先安装 matplotlib 模块
    从PCAP文件(或存放多个PCAP文件的目录中)中提取指定会话的数据另存为PCAP文件
'''



####################
## 解析数据包函数 ##
####################

## TCP校验
def 计算校验和(DATA):
    LEN = len(DATA)
    if LEN % 2 == 0:
        FMT = '!' + str(LEN//2) + 'H'
    else:
        DATA += b'\x00'
        LEN = len(DATA)
        FMT = '!' + str(LEN//2) + 'H'
    X = struct.unpack(FMT, DATA)
    SUM = 0
    for i in X:
        SUM += i

    while(SUM > 65535):     ## 值大于 65535 说明二进制位数超过16bit
        H16 = SUM >> 16     ## 取高16位
        L16 = SUM & 0xffff  ## 取低16位
        SUM = H16 + L16
    校验和 = SUM ^ 0xffff
    #Log.debug(f"计算 TCP_Checksum {hex(校验和)}")
    return(校验和)

## 解析包头(16字节)
def Packet_Header(BytesData):
    PacketHeader = struct.unpack('IIII', BytesData)
    时间戳 = PacketHeader[0]
    微秒 = PacketHeader[1]
    抓取数据包长度 = PacketHeader[2]       # 所抓获的数据包保存在pcap文件中的实际长度,以字节为单位。
    实际数据包长度 = PacketHeader[3]       # 所抓获的数据包的真实长度,如果文件中保存不是完整的数据包,那么这个值可能要比前面的数据包长度的值大。
    #return(时间戳, 微秒, 抓取数据包长度, 实际数据包长度)
    时间戳_float = 时间戳 + 微秒/1000000
    return(时间戳_float, 抓取数据包长度, 实际数据包长度)

## 解析帧头(14字节)
def EthernetII_Header(BytesData):
    DstMAC = BytesData[0:6]             # 目的MAC地址
    SrcMAC = BytesData[6:12]            # 源MAC地址
    FrameType = BytesData[12:14]        # 帧类型
    return(DstMAC, SrcMAC, FrameType)

## 解析IP头(20字节)
def IPv4_Header(BytesData):
    IP_B, IP_TOS, IP_Total_Length, IP_Identification, IP_H, IP_TTL, IP_Protocol, IP_Header_checksum, IP_Source, IP_Destination = struct.unpack('!BBHHHBBHII', BytesData)                                     # B
    IP_Version = IP_B >> 4          # 取1字节的前4位
    IP_Header_Length = IP_B & 0xF   # 取1字节的后4位
    IP_Flags = IP_H >> 13
    IP_Fragment_offset = IP_H & 0b0001111111111111
    return(IP_Version, IP_Header_Length, IP_TOS, IP_Total_Length, IP_Identification, IP_Flags, IP_Fragment_offset, IP_TTL, IP_Protocol, IP_Header_checksum, IP_Source, IP_Destination)

## 解析TCP头(20字节)
def TCP_Header(BytesData):
    TCP_Source_Port, TCP_Destination_Port, TCP_Sequence_Number, TCP_Acknowledgment_Number, TCP_H, TCP_Window, TCP_Checksum, TCP_Urgent_Pointers = struct.unpack('!HHLLHHHH', BytesData)                                                                # H(2B)
    TCP_Data_Offset = TCP_H >> 12
    先去掉后6位 = TCP_H >> 6
    TCP_Reserved = 先去掉后6位 & 0b0000111111
    TCP_Flags = TCP_H & 0b0000000000111111
    return(TCP_Source_Port, TCP_Destination_Port, TCP_Sequence_Number, TCP_Acknowledgment_Number, TCP_Data_Offset, TCP_Reserved, TCP_Flags, TCP_Window, TCP_Checksum, TCP_Urgent_Pointers)

## 解析TCP头中Options(0字节或4字节的倍数)
def TCP_Options(BytesData):
    #print("TCP_Options", BytesData)
    ## 格式 Kind/Type(1 Byte) + Length(1 Byte) + Value(X Bytes)
    ## EOL 和 NOP Option 只有 Kind/Type(1 Byte)
    ## 准备需要return的变量
    MSS = 0             # 本端可以接受的最大实际数据长度(单位字节,不含TCP Header),默认值536,最大65535
    WSOPT = 0           # 窗口扩大系数(转成倍数是 2**WSOPT)
    #SACK_Premitted = 0  # 告知对方自己支持SACK(允许只重传丢失部分数据),自定义值,1表示启用,0表示不启用
    L_SACK_INFO = []    # 重传的数据信息
    
    N = 0                          # 记录已经读到的位置
    while N < len(BytesData):
        # 读取首字节判断 Kind/Type(1 Byte)
        Kind = BytesData[N:N+1]
        #print("  Kind/Type", Kind)
        if Kind == b'\x02':
            ## 最大Segment长度(MSS)
            #print("    Kind:   Maximum Segment Size (最大Segment长度)")
            Length = 4  ## 固定为4
            #print("    Length:", Length)
            Value = struct.unpack('!H', BytesData[N+2:N+Length])[0]
            #print("    Value: ", Value)
            N += Length     ## 更新N为实际已经读取了的字数
            MSS = Value     ## 赋值准备return的变量
        elif Kind == b'\x01':
            ## 补位填充
            #print("    Kind:   NOP Option (补位填充)")
            N +=1
        elif Kind == b'\x00':
            ## 选项列表结束
            #print("    Kind:   EOL (选项列表结束)")
            N +=1
        elif Kind == b'\x03':
            ## 窗口扩大系数
            #print("    Kind:   Window Scaling Factor (窗口扩大系数)")
            Length = 3      ## 固定为3
            #print("    Length:", Length)
            Value = struct.unpack('B', BytesData[N+2:N+Length])[0]
            #print("    Value: ", Value)
            N += Length
            WSOPT = Value
        elif Kind == b'\x04':
            ## 支持SACK
            #print("      Kind:   SACK-Premitted(支持SACK)")
            Length = 2  ## 固定为2
            #print("    Length:", Length)
            N += Length
            #SACK_Premitted = 1  ## 自定义,1表示启用,0表示不启用
        elif Kind == b'\x05':
            ## 乱序/丢包数据
            #print("    Kind:   SACK Block(乱序/丢包信息)")
            ## 长度不固定,存在后续1个字节中
            Length = struct.unpack('B', BytesData[N+1:N+2])[0]
            #print("    Length:", Length)
            Value = BytesData[N+2:N+Length]
            #print("    Value: ", b2a_hex(Value))
            #print("len(Value)", len(Value))
            for i in range(0, len(Value)-2, 8):
                T = struct.unpack('!II', Value[i:i+8])
                #print("T", T)
                L_SACK_INFO.append(T)
            N += Length
        elif Kind == b'\x08':
            ## Timestamps(随时间单调递增的值)
            #print("    Kind:   Timestamps(随时间单调递增的值)")
            Length = 10 ## 固定为10
            #print("    Length:", Length)
            Value = BytesData[N+2:N+Length]
            #print("    Value: ", b2a_hex(Value))
            N += Length
        elif Kind == b'\x13':   # 19
            ## MD5认证
            #print("    Kind:   TCP-MD5(MD5认证)")
            Length = 18 ## 固定为18
            #print("    Length:", Length)
            Value = BytesData[N+2:N+Length]
            #print("    Value: ", b2a_hex(Value))
            N += Length
        elif Kind == b'\x1c':   # 28
            ## 超过一定闲置时间后拆除连接
            #print("    Kind:   User Timeout(超过一定闲置时间后拆除连接)")
            Length = 4 ## 固定为4
            #print("    Length:", Length)
            Value = BytesData[N+2:N+Length]
            #print("    Value: ", b2a_hex(Value))
            N += Length
        elif Kind == b'\x1d':   # 29
            ## 认证(可选用各种算法)
            #print("    Kind:   TCP-AO(认证(可选用各种算法))")
            ## 长度不固定,存在后续1个字节中
            Length = struct.unpack('B', BytesData[N+1:N+2])[0]
            #print("    Length:", Length)
            Value = BytesData[N+2:N+Length]
            #print("    Value: ", b2a_hex(Value))
            N += Length
        elif Kind == b'\xfe':   # 254
            ## 科研实验保留
            #print("    Kind:   Experimental(科研实验保留)")
            ## 长度不固定,存在后续1个字节中
            Length = struct.unpack('B', BytesData[N+1:N+2])[0]
            #print("    Length:", Length)
            Value = BytesData[N+2:N+Length]
            #print("    Value: ", b2a_hex(Value))
            N += Length
        else:
            print("【W】未知 TCP Option,终止")
            break
    return(MSS, WSOPT, L_SACK_INFO)

## 粗略解析TCP实际数据(以UTF8编码解析,忽略解析不出的部分)
def TCP_DATA(BytesData):
    print(BytesData.decode('UTF8', errors='ignore'))



##################################################
## 解析PCAP文件中每个数据包,结果存入全局总字典 ##
##################################################
## 总字典                   {(源地址,源端口,目的地址,目的端口):D_TCP, (目的地址,目的端口,源地址,源端口):D_TCP}
## 参数 D_TCP               子字典,存单个TCP会话交互中的包信息
## 参数 PacketHeader_Bytes  PCAP文件存储每个数据包的包头(16字节)
## D_TCP['L_DATA']          TCP会话交互中的包简要信息列表 (编号,时间戳,SrcIP,DstIP,SrcPort,DstPort,Seq,Ack,FLAGE,TCP_DATA_LEN,TCP_req_or_ack,TCP_Window,hex(TCP_Checksum),PS)
## 前置条件:不能含VLAN信息,这些由前置拆分PCAP文件的函数解决
##################################################
def D_SAVE(D_TCP, PacketHeader_Bytes, PacketData, 编号):
    TCP校验 = 0   # 是否检查TCP校验和,0关闭 1开启
    PS = ''       # 初始化每个包的备注信息
    时间戳, 抓取数据包长度, 实际数据包长度 = Packet_Header(PacketHeader_Bytes)
    
    DstMAC, SrcMAC, FrameType = EthernetII_Header(PacketData[0:14])     # 以太帧头
    ###########【IPv4】###########
    if FrameType == b'\x08\x00':
        ## 解析IP头(20字节[14:34])
        (IP_Version, IP_Header_Length, IP_TOS, IP_Total_Length, IP_Identification, IP_Flags, IP_Fragment_offset, IP_TTL, IP_Protocol, IP_Header_checksum, IP_Source, IP_Destination) = IPv4_Header(PacketData[14:34])
        IP部首字节长度 = IP_Header_Length*4
        ###########【TCP】###########
        if IP_Protocol == 6:               # TCP b'\x06'
            TCP_Source_Port, TCP_Destination_Port, TCP_Sequence_Number, TCP_Acknowledgment_Number, TCP_Data_Offset, TCP_Reserved, TCP_Flags, TCP_Window, TCP_Checksum, TCP_Urgent_Pointers = TCP_Header(PacketData[34:54])
            if TCP_Reserved != 0:
                Log.debug("【注意,保留6bit被使用,支持(CWR/ECN)功能】TCP_Reserved(6bit)", TCP_Reserved)
            
            ## 根据TCP部首长度计算是否有TCP可选字段
            TCP部首实际长度 = TCP_Data_Offset*4
            TCP部首固定长度 = 20
            TCP选项长度 = TCP部首实际长度 - TCP部首固定长度
            ## 初始化TCP选项信息
            MSS = 0             # 本端可以接受的最大实际数据长度(单位字节,不含TCP Header),默认值536,最大65535
            WSOPT = 0           # 窗口扩大系数
            L_SACK_INFO = []    # 放丢包信息
            if TCP选项长度 > 0:
                MSS, WSOPT, L_SACK_INFO = TCP_Options(PacketData[54:54+TCP选项长度])
                if MSS == 0:
                    MSS = 536   # 使用默认值
            
            TCP_DATA_LEN = IP_Total_Length - IP部首字节长度 - TCP部首固定长度 - TCP选项长度

            ## 计算数据长度
            ## 最小60字节,不足会填充
            #剩余全部数据 = PacketData[54+TCP选项长度:]
            剩余有效数据 = PacketData[54+TCP选项长度:54+TCP选项长度+TCP_DATA_LEN]
            #print("剩余全部数据字节数(TCP选项后全部)", len(剩余全部数据))           ## 当不足最小长度会填充,这个会比下面的大
            #print("剩余有效数据字节数(计算得到)", len(剩余有效数据))
            
            ## 是否进行TCP校验,校验错误的包可能可以正常使用
            if TCP校验 == 1:
                ## 校验TCP是否正确
                #print("提取 TCP_Checksum", hex(TCP_Checksum))
                TCP_Pseudo_Total_Length = TCP部首实际长度 + TCP_DATA_LEN
                #print("TCP_Pseudo_Total_Length", TCP_Pseudo_Total_Length)
                TCP_Pseudo_Header = PacketData[26:34] + b'\x00\x06' + struct.pack('!H', TCP_Pseudo_Total_Length)    # 构造TCP伪部首
                if TCP选项长度 == 0:
                    DATA = TCP_Pseudo_Header + PacketData[34:54] + 剩余有效数据
                else:
                    TCP选项_Bytes = PacketData[54:54+TCP选项长度]
                    DATA = TCP_Pseudo_Header + PacketData[34:54] + TCP选项_Bytes + 剩余有效数据
                校验结果 = 计算校验和(DATA)                      #校验通过返回为0
                if 校验结果 != 0:
                    PS = PS + f"TCP校验错误({hex(校验结果)})"
            
            ## 分析数据包中的TCP内容
            TCP_req_or_ack = ''                     # 标识一下是请求还是响应(一般都是客户端发起请求,服务端响应)
            FLAGE = ''
            SrcIP_Bytes = PacketData[26:30]         # 源IP地址
            DstIP_Bytes = PacketData[30:34]         # 目的IP地址
            SrcIP = socket.inet_ntoa(SrcIP_Bytes)
            DstIP = socket.inet_ntoa(DstIP_Bytes)
            SrcPort = TCP_Source_Port
            DstPort = TCP_Destination_Port
            Seq = TCP_Sequence_Number
            Ack = TCP_Acknowledgment_Number
            if TCP_Flags == 24:                     # 24 011000 URG ACK PSH RST SYN FIN
                FLAGE = 'ACK PSH'
            elif TCP_Flags == 16:                   # 16 010000 URG ACK PSH RST SYN FIN
                FLAGE = 'ACK'
            elif TCP_Flags == 17:                   # 17 010001 URG ACK PSH RST SYN FIN
                FLAGE = 'ACK FIN'
            elif TCP_Flags == 18:                   # 18 010010 URG ACK PSH RST SYN FIN
                FLAGE = 'ACK SYN'
            elif TCP_Flags == 2:                    #  2 000010 URG ACK PSH RST SYN FIN
                FLAGE = 'SYN'
            elif TCP_Flags == 20:                   # 20 010100 URG ACK PSH RST SYN FIN
                FLAGE = 'ACK RST'
            elif TCP_Flags == 4:                    #  4 000100 URG ACK PSH RST SYN FIN
                FLAGE = 'RST'
            elif TCP_Flags == 25:                   # 25 011001 URG ACK PSH RST SYN FIN
                FLAGE = 'A.P.F'
            elif TCP_Flags == 28:                   # 28 011100 URG ACK PSH RST SYN FIN
                FLAGE = 'A.P.R'
            else:
                FLAGE = 'NA'
                Log.error("【ERROR】TCP_Flags unknown %d URG ACK PSH RST SYN FIN 编号 %d" % (TCP_Flags, 编号))
            
            ## 先判断出客户端和服务端的IP及端口
            ## 如果前面还没有判断出客户端和服务端,且这个包不是'SYN'和'ACK SYN',就根据端口大小估计客户端和服务端,大的为客户端
            if D_TCP['CLIENT'] == ():
                if FLAGE not in ('SYN', 'ACK SYN'):
                    if SrcPort > DstPort:
                        D_TCP['CLIENT'] = (SrcIP, SrcPort)
                        D_TCP['SERVER'] = (DstIP, DstPort)
                        D_TCP['C_Tx_DATA_ALL'] = Seq
                        D_TCP['S_Tx_DATA_ALL'] = Ack
                    else:
                        D_TCP['CLIENT'] = (DstIP, DstPort)
                        D_TCP['SERVER'] = (SrcIP, SrcPort)
                        D_TCP['S_Tx_DATA_ALL'] = Seq
                        D_TCP['C_Tx_DATA_ALL'] = Ack
            
            ## 根据FLAGE分类存数据包
            if FLAGE in ('ACK', 'ACK PSH'):
                ## 先区分是哪端发的ACK
                if SrcPort == D_TCP['CLIENT'][1]:
                    ## 客户端发ACK
                    ## Seq = C发的这个包的数据编号(累计值,不含当次数据,不含重发)
                    ## Ack = C确认已经接到S数据的编号(丢包/乱序信息放在TCP选项SACK中发送)
                    
                    ## 判断是否有数据
                    if TCP_DATA_LEN == 0:
                        TCP_ACK_KeepAlive_Mark = 0  # 标记是否是Keep-Alive包,0表示不是。1表示是,初始化为0
                        if TCP_Window == 0:                                                                        # 记录C发的ACK且窗口为0的包信息,说明C接收缓存满,同一段接收满的包的(Seq,Ack)相同,就只记录一次Ack
                            PS = PS + '接收缓冲区已满(C)'
                            if Ack not in D_TCP['D_C_WIN_0']:
                                D_TCP['D_C_WIN_0'][Ack] = [(时间戳, Seq, Ack, TCP_DATA_LEN, TCP_Window, 编号)]     # 记录C接收缓存满的包信息
                                D_TCP['C_ACK_WIN_0'].append((Seq,Ack))                                             # 记录C接收缓存满的包信息(判断对方探测包使用)
                            else:
                                D_TCP['D_C_WIN_0'][Ack].append((时间戳, Seq, Ack, TCP_DATA_LEN, TCP_Window, 编号)) # 记录C接收缓存满的包信息
                        if L_SACK_INFO != []:
                            if L_SACK_INFO[0][0] +1 == L_SACK_INFO[0][1]:
                                PS = PS + f'【TCP Keep-Alive ACK】(C) 响应保持连接包,L_SACK_INFO={L_SACK_INFO}'
                                TCP_ACK_KeepAlive_Mark = 1  # 标记是Keep-Alive包
                                ## 保存C响应保持连接的包信息
                                if Ack in D_TCP['C_TCP_Keep_Alive_ACK']:
                                    D_TCP['C_TCP_Keep_Alive_ACK'][Ack].append((时间戳, Seq, Ack, TCP_DATA_LEN, TCP_Window, 编号))
                                else:
                                    D_TCP['C_TCP_Keep_Alive_ACK'][Ack] = [(时间戳, Seq, Ack, TCP_DATA_LEN, TCP_Window, 编号)]
                            else:
                                PS = PS + f'C丢包乱序通知={L_SACK_INFO}'
                        ## 保存纯确认消息包到 D_C_ACK (C确认收完S数据的纯回应包会在这里)
                        if TCP_ACK_KeepAlive_Mark == 0:     # 忽略响应保持连接包
                            if Ack in D_TCP['D_C_ACK']:
                                D_TCP['D_C_ACK'][Ack].append((时间戳, Seq, Ack, TCP_DATA_LEN, TCP_Window))
                            else:
                                D_TCP['D_C_ACK'][Ack] = [(时间戳, Seq, Ack, TCP_DATA_LEN, TCP_Window)]
                    ## 数据长度为1,Seq(自发送累计) 主动变小1的,应该就是C发的keep-alive包,不累计大小
                    elif TCP_DATA_LEN == 1 and 剩余有效数据 == b'\x00':
                        PS = PS + '【TCP Keep-Alive】    (C) 请求保持连接包(长度1,内容空)'
                        ## 保存C发起保持连接的包信息
                        if Ack in D_TCP['C_TCP_Keep_Alive']:
                            D_TCP['C_TCP_Keep_Alive'][Ack].append((时间戳, Seq, Ack, TCP_DATA_LEN, TCP_Window, 编号))
                        else:
                            D_TCP['C_TCP_Keep_Alive'][Ack] = [(时间戳, Seq, Ack, TCP_DATA_LEN, TCP_Window, 编号)]
                    elif TCP_DATA_LEN == 1 and (Ack,Seq) in D_TCP['S_ACK_WIN_0']:                   # TCP数据长度是1且能和S缓存满的消息能对应上,说明是C发的探测S窗口的包
                        PS = PS + '(C=>S Window=?)'
                    #elif TCP_DATA_LEN == 1:     # 查看长度为1情况
                    #    print(编号, 剩余有效数据, len(剩余有效数据))
                    else:
                        ## 已经避开了纯消息包和保持连接的包
                        ## 记录TCP有效数据的包信息(C)发起的(一般都是客户端发起请求,包信息保存到 C_TCP_REQ 字典 Key=Ack Value=[(包信息1),(包信息2)] 一个请求可能会分成多个包发送)
                        TCP_req_or_ack = 'C_req'            # 备注标识为:客户端发起请求
                        if Ack in D_TCP['D_C_ACK_DATA']:
                            D_TCP['D_C_ACK_DATA'][Ack].append((时间戳, Seq, Ack, TCP_DATA_LEN, TCP_Window, 编号))
                        else:
                            D_TCP['D_C_ACK_DATA'][Ack] = [(时间戳, Seq, Ack, TCP_DATA_LEN, TCP_Window, 编号)]
                        ## 重复的情况
                        if (Seq,Ack) not in D_TCP['P_C_Tx_Seq_Ack']:
                            D_TCP['P_C_Tx_Seq_Ack'].add((Seq,Ack))                                           # 加入C发送过的数据集合,查重复用
                            D_TCP['C_Tx_DATA_ALL'] += TCP_DATA_LEN                                            # 累计C发送数据(也可以用于识别C发的keep-alive)
                        else:
                            PS = PS + 'C重发数据(Seq,Ack)完全重复'
                else:
                    ## 服务端发ACK
                    ## Seq = S自己已经发数据的累计(不含本次的数据量,不累计重发数据)
                    ## Ack = S已经接到了C发的多少数据(S告诉C端,S是接到C多少数据后的回应,在HTTP里这个可以用于区别这个回应是针对哪个请求的)
                    if TCP_DATA_LEN == 0:
                        ## 保存到 D_S_ACK
                        if Ack in D_TCP['D_S_ACK']:
                            D_TCP['D_S_ACK'][Ack].append((时间戳, Seq, Ack, TCP_DATA_LEN, TCP_Window))
                        else:
                            D_TCP['D_S_ACK'][Ack] = [(时间戳, Seq, Ack, TCP_DATA_LEN, TCP_Window)]
                        if TCP_Window == 0:                                 # 记录S发的ACK且窗口为0的包信息(Seq,Ack)说明S接收缓存满
                            PS = '接收缓冲区已满(S)'
                            if Ack not in D_TCP['D_S_WIN_0']:
                                D_TCP['D_S_WIN_0'][Ack] = [(时间戳, Seq, Ack, TCP_DATA_LEN, TCP_Window, 编号)]
                                D_TCP['S_ACK_WIN_0'].append((Seq,Ack))      # 记录S接收缓存满的包信息
                            else:
                                D_TCP['D_S_WIN_0'][Ack].append((时间戳, Seq, Ack, TCP_DATA_LEN, TCP_Window, 编号))
                        if L_SACK_INFO != []:
                            if L_SACK_INFO[0][0] +1 == L_SACK_INFO[0][1]:
                                PS = PS + f'【TCP Keep-Alive ACK】(S) 响应保持连接包,L_SACK_INFO={L_SACK_INFO}'
                                ## 保存S响应保持连接的包信息
                                if Ack in D_TCP['S_TCP_Keep_Alive_ACK']:
                                    D_TCP['S_TCP_Keep_Alive_ACK'][Ack].append((时间戳, Seq, Ack, TCP_DATA_LEN, TCP_Window, 编号))
                                else:
                                    D_TCP['S_TCP_Keep_Alive_ACK'][Ack] = [(时间戳, Seq, Ack, TCP_DATA_LEN, TCP_Window, 编号)]
                            else:
                                PS = PS + f'S丢包乱序通知={L_SACK_INFO}'
                    ## 数据长度是1且能和C缓存满的消息能对应上(Seq Ack 交换位置),说明是S发的探测C窗口的包
                    elif TCP_DATA_LEN == 1 and (Ack,Seq) in D_TCP['C_ACK_WIN_0']:
                        PS = PS + '探测窗口(S=>C Window=?)'
                    ## (S) 请求保持连接包(长度1,内容空)
                    elif TCP_DATA_LEN == 1 and 剩余有效数据 == b'\x00':
                        PS = PS + '【TCP Keep-Alive】    (S) 请求保持连接包(长度1,内容空)'
                        ## 保存S发起保持连接的包信息
                        if Ack in D_TCP['S_TCP_Keep_Alive']:
                            D_TCP['S_TCP_Keep_Alive'][Ack].append((时间戳, Seq, Ack, TCP_DATA_LEN, TCP_Window, 编号))
                        else:
                            D_TCP['S_TCP_Keep_Alive'][Ack] = [(时间戳, Seq, Ack, TCP_DATA_LEN, TCP_Window, 编号)]
                    else:
                        ## 已经避开了纯消息包和保持连接的包
                        TCP_req_or_ack = '    S_ack'            # 备注标识为:服务端响应请求
                        ## 记录TCP有效数据的包信息(S)发起的
                        if Ack in D_TCP['D_S_ACK_DATA']:
                            D_TCP['D_S_ACK_DATA'][Ack].append((时间戳, Seq, Ack, TCP_DATA_LEN, TCP_Window, 编号))
                        else:
                            D_TCP['D_S_ACK_DATA'][Ack] = [(时间戳, Seq, Ack, TCP_DATA_LEN, TCP_Window, 编号)]
                        ## 重复的情况
                        if (Seq,Ack) not in D_TCP['P_S_Tx_Seq_Ack']:
                            D_TCP['P_S_Tx_Seq_Ack'].add((Seq,Ack))
                            D_TCP['S_Tx_DATA_ALL'] += TCP_DATA_LEN                                                        # 累计S发送数据(也可以用于识别S发的keep-alive)
                        else:
                            PS = PS + 'S重发数据(Seq,Ack)完全重复'
            elif FLAGE in ('ACK FIN', 'A.P.F'):             ## 终止连接
                if DstPort == D_TCP['CLIENT'][1]:           ## 是 S 发起的 ACK FIN
                    PS = PS + '(S)发起终止连接'
                    if Seq in D_TCP['S_ACK_FIN_SeqKey']:
                        D_TCP['S_ACK_FIN_SeqKey'][Seq].append((时间戳, Seq, Ack, TCP_DATA_LEN))
                    else:
                        D_TCP['S_ACK_FIN_SeqKey'][Seq] = [(时间戳, Seq, Ack, TCP_DATA_LEN)]
                else:                                       ## 是 C 发起的 ACK FIN
                    PS = PS + '(C)发起终止连接'
                    D_TCP['C_ACK_FIN'] = (时间戳, Seq, Ack, TCP_DATA_LEN)
            elif FLAGE in ('ACK RST', 'RST', 'A.P.R'):      ## 强制断开连接
                if DstPort == D_TCP['CLIENT'][1]:
                    if Ack in D_TCP['S_ACK_RST']:
                        PS = PS + 'S强制终止连接(重复)'
                    else:
                        D_TCP['S_ACK_RST'][Ack] = (时间戳, Seq, Ack, TCP_DATA_LEN)
                        PS = PS + 'S强制终止连接'
                else:
                    ## C终止自己的请求 C_ACK_RST_AckKey 以Ack为KEY,给没有数据回应情况用请求Ack匹配RST的ACK
                    if Ack in D_TCP['C_ACK_RST_AckKey']:
                        PS = PS + 'C强制终止连接(重复)'
                    else:
                        PS = PS + 'C强制终止连接'
                        D_TCP['C_ACK_RST_AckKey'][Ack] = (时间戳, Seq, Ack, TCP_DATA_LEN)  # 记录
                    ## C终止自己的请求 C_ACK_RST_SeqKey 以Seq为KEY,期望S响应的Ack=这个Seq,给有回应的匹配用
                    if Seq in D_TCP['C_ACK_RST_SeqKey']:
                        PS = PS + '(匹配有回应)'
                    else:
                        D_TCP['C_ACK_RST_SeqKey'][Seq] = (时间戳, Seq, Ack, TCP_DATA_LEN)  # 记录
                        PS = PS + '(记录)'
            elif FLAGE == 'SYN':                                        ## 发起连接方是客户端
                if D_TCP['CLIENT'] != ():
                    if D_TCP['CLIENT'] == (SrcIP, SrcPort):
                        PS = PS + f"重复SYN【C 新建TCP连接】初始Seq={D_TCP['C_Tx_DATA_ALL']} MSS={MSS} 窗口扩大系数={WSOPT}"
                    else:
                        D_TCP['CLIENT'] = (SrcIP, SrcPort)
                        D_TCP['SERVER'] = (DstIP, DstPort)
                        D_TCP['C_SYN'] = (时间戳, Seq, Ack, 0)
                        D_TCP['C_Tx_DATA_ALL'] = Seq+1                  ## 客户端初始数据编号
                        PS = PS + f"前面判断谁是客户端错误或端口被复用,重置【C 新建TCP连接】初始Seq={D_TCP['C_Tx_DATA_ALL']} MSS={MSS} 窗口扩大系数={WSOPT}"
                else:
                    D_TCP['CLIENT'] = (SrcIP, SrcPort)
                    D_TCP['SERVER'] = (DstIP, DstPort)
                    D_TCP['C_SYN'] = (时间戳, Seq, Ack, 0)
                    D_TCP['C_Tx_DATA_ALL'] = Seq+1                      ## 客户端初始数据编号
                    PS = PS + f"【C 新建TCP连接】初始Seq={D_TCP['C_Tx_DATA_ALL']} MSS={MSS} 窗口扩大系数={WSOPT}"
            elif FLAGE == 'ACK SYN':                                    ## 回应SYN请求,是本次连接的服务端,Seq随机,Ack为发起方Seq+1
                if D_TCP['CLIENT'] == ():
                    D_TCP['CLIENT'] = (DstIP, DstPort)
                    D_TCP['SERVER'] = (SrcIP, SrcPort)
                if D_TCP['C_SYN'] != ():
                    if Ack == D_TCP['C_SYN'][1] + 1:
                        D_TCP['S_ACK_SYN'] = (时间戳, Seq, Ack, 0)
                        D_TCP['S_Tx_DATA_ALL'] = Seq+1                  ## 服务端初始数据编号
                        PS = PS + f"【S 响应TCP连接】初始Seq={D_TCP['S_Tx_DATA_ALL']} MSS={MSS} 窗口扩大系数={WSOPT}"
                    else:
                        PS = PS + 'SYN_ACK错误 或 SYN重连 或 端口被复用'
                else:
                    DEBUG = f"【DEBUG】编号={编号} ACK SYN 前面没有SYN"
                    Log.debug(DEBUG)
            else:
                Log.error(f"【ERROR】未定义怎么处理的 FLAGE {FLAGE} 忽略")
                PS = PS + f"【ERROR】未定义怎么处理的 FLAGE {FLAGE} 忽略"
            
            ## 保存信息用于显示(TCP校验通过的包/忽略TCP校验的包)
            D_TCP['L_DATA'].append((编号,时间戳,SrcIP,DstIP,SrcPort,DstPort,Seq,Ack,FLAGE,TCP_DATA_LEN,TCP_req_or_ack,TCP_Window,hex(TCP_Checksum),PS))
            
        elif IP_Protocol == 17:
            Log.error("【ERROR】UDP PASS")
        else:
            Log.error("【ERROR】NOT TCP/UDP PASS")
    else:
        Log.error("【ERROR】NOT IPv4 Ethernet")



## 记录数据包信息
def SHOW_PACK_INFO(L_DATA):
    Log.info('%3s %-17s %-15s %-15s %5s %5s %10s %10s %-7s %4s %-5s %5s %s %s' % ('ID','TIME','SrcIP','DstIP','SPort','DPort','Seq','Ack','FLAGE','LEN','请求/响应','WIN','校验码','备注说明'))
    for i in L_DATA:
        Log.info('%3s %-17s %-15s %-15s %5s %5s %10s %10s %-7s %4s %-9s %5s %6s %s' % i)
    Log.info('')



#############################
## 分析请求/响应的交互时间 ##
#############################

## 以客户端视角(在客户端处抓包)或服务端视角(在服务端处抓包)分析每个请求/响应的交互时间,记录各过程耗时,返回列表
## 请求完成耗时   COMP
## 发完请求耗时   TX
## 处理请求耗时   SYS
## 传回结果耗时   RX
## 设置了一下可以反应问题的自定义响应码:
# 响应状态码 = 0    # 自定义初始值,如果后面解析不出,就响应码设置为0
# 响应状态码 = 1    # 自定义,两种方法都找不到响应信息,且发现了C发的RST信息
# 响应状态码 = 2    # 自定义,两种方法都找不到响应信息,且没有发现C发的RST信息,应该是真没有响应
# 响应状态码 = 3    # 自定义,两种方法都找不到响应信息,且找到服务端发起了FIN终止
# 响应状态码 = 4    # 自定义,有响应的情况下表示C发起了RST,强制断开连接
# 响应状态码 = 5    # 自定义,两种方法都找不到响应信息,且发现了S发的RST信息

## 分析请求的结果及用时信息,返回分析结果 L_TCP_TIME
def TCP_SESSION_TIME(D_TCP):
    ## 客户端发起的请求都在 D_TCP['D_C_ACK_DATA'] 中,有数据,大请求分成多个包的话seq最小那个是第一个包(可在乱序中找到实际第一个包)
    ## 在 D_TCP['D_C_ACK_DATA'] 中找出起始请求包,生成包信息列表
    L_C_ACK = []
    for K in D_TCP['D_C_ACK_DATA']:     # {1653587983: [(1625798739.757637, 1741930757, 1653587983, 87, 8212, 5)], ...}
        L = D_TCP['D_C_ACK_DATA'][K]
        MIN_INFO = L[0]
        MIN_SEQ = L[0][1]
        for Ln in range(1, len(L)):
            if L[Ln][1] < MIN_SEQ:
                MIN_SEQ = L[Ln][1]
                MIN_INFO = L[Ln]
        L_C_ACK.append(MIN_INFO)
    
    ## 服务端响应生成一个以Seq为Key,Ack为值的字典,方便客户端以自己Ack去匹配服务端Seq然后找出相应服务端Ack
    D_S_ACK_DATA_SeqKey = {}
    for K in D_TCP['D_S_ACK_DATA']:
        L = D_TCP['D_S_ACK_DATA'][K]
        MIN_SEQ = L[0][1]
        ACK = L[0][2]
        for Ln in range(1, len(L)):
            if L[Ln][1] < MIN_SEQ:
                MIN_SEQ = L[Ln][1]
                ACK = L[Ln][2]
        D_S_ACK_DATA_SeqKey[MIN_SEQ] = ACK
    
    L_TCP_TIME = []                     # 记录用时分析结果
    for C_REQ in L_C_ACK:
        C发送请求时间戳 = C_REQ[0]
        REQ_seq = C_REQ[1]
        REQ_ack = C_REQ[2]
        REQ_len = C_REQ[3]
        
        ## 设置初始值
        响应状态码 = 0                  # 正常响应设置为0
        请求类型 = "TCP"
        
        ## 处理 C 发送的请求包
        Log.debug(f"C 发送 {请求类型} 请求 ACK={REQ_ack}")
        C发送请求包列表 = D_TCP['D_C_ACK_DATA'][REQ_ack]
        
        ## 检查一下有没有异常的数据包(乱序/编号有问题)
        if 检查数据包编号(C发送请求包列表) == 1:
            Log.debug("    【WARNING】数据包编号有乱序")
        else:
            Log.debug("    数据包编号正常(单包请求忽略检查)")

        ## 开始分析请求时间信息(没有处理重发/乱序问题)
        REQ_DATA_LEN = 0                                     # 累计请求数据总长度(字节)
        C发送请求尾包 = C发送请求包列表[-1]                  # 请求包按时间最后一个
        C发完请求耗时 = C发送请求尾包[0] - C发送请求时间戳   # 最后一个减去第一个包的时间,单包请求结果为0
        for i in C发送请求包列表:
            Log.debug(f'        {请求类型} 请求信息 {i}')
            REQ_DATA_LEN += i[3]
        累计计算预估S响应ACK = REQ_seq+REQ_DATA_LEN
        
        ## C 发送的重复GET/POST包:(Seq,Ack)重复的包
        C重发数据包数量 = 0
        #if REQ_ack in D_TCP['D_C_ACK_DATA_RPT']:
        #    for i in D_TCP['D_C_ACK_DATA_RPT'][REQ_ack]:
        #        Log.debug(f'        重发 {请求类型} 请求信息 {i}')
        #        C重发数据包数量 += 1
        
        Log.debug(f"    C 发送 {请求类型} 数据统计:正常 {len(C发送请求包列表)} 个,共 {REQ_DATA_LEN} 字节,重发 {C重发数据包数量} 个")
        Log.debug(f"    C 发送 {请求类型} 时间 {C发送请求时间戳}")
        Log.debug(f"    C 发完 {请求类型} 时间 {C发送请求尾包[0]}")
        Log.debug("    C 发完 %s 耗时 %.6f 秒 (不含重发数据的时间)" % (请求类型, C发完请求耗时))
        
        if REQ_ack in D_S_ACK_DATA_SeqKey:      ## D_S_ACK_DATA_SeqKey 的KEY是HTTP首回应包的seq,值等于请求的ack
            C_REQ提取S_ACK = D_S_ACK_DATA_SeqKey[REQ_ack]
        else:
            C_REQ提取S_ACK = -1
        
        if C_REQ提取S_ACK == 累计计算预估S响应ACK:
            Log.debug(f"    【I】期望 S 回应 ACK  {C_REQ提取S_ACK}(请求ACK查响应SEQ) == {累计计算预估S响应ACK}(发数据累计预估)")
        else:
            Log.debug(f"    【W】期望 S 回应 ACK  {C_REQ提取S_ACK}(请求ACK查响应SEQ) != {累计计算预估S响应ACK}(发数据累计预估)")
        
        ## 检查有没有响应数据
        if C_REQ提取S_ACK in D_TCP['D_S_ACK_DATA']:        ## 初始值是负数,没有找到可用值时使用初始可以保证这个判断失败
            Log.debug(f"    【I】使用(请求ACK查响应SEQ)找到的响应信息")
            S响应ACK = C_REQ提取S_ACK
        elif 累计计算预估S响应ACK in D_TCP['D_S_ACK_DATA']:
            Log.debug(f"    【I】使用(累计计算预估S响应ACK)找到的响应信息")
            S响应ACK = 累计计算预估S响应ACK
        elif 累计计算预估S响应ACK in D_TCP['S_ACK_RST']:
            Log.debug(f"    【E】使用(累计计算预估S响应ACK)找到S强制终止连接的响应信息")
            响应状态码 = 5 ## 自定义,两种方法都找不到响应信息,且发现了S发的RST信息
            L_TCP_TIME.append((REQ_ack, C发送请求时间戳, 请求类型, 响应状态码, 0, C发完请求耗时, 0, 0, C重发数据包数量, 0))
            continue
        elif REQ_ack in D_TCP['C_ACK_RST_AckKey']:
            Log.debug(f"    【E】找不到响应数据,找到C主动终止了连接:发现ACK={REQ_ack} 在 D_TCP['C_ACK_RST_AckKey']出现")
            响应状态码 = 1 ## 自定义,两种方法都找不到响应信息,且发现了C发的RST信息
            L_TCP_TIME.append((REQ_ack, C发送请求时间戳, 请求类型, 响应状态码, 0, C发完请求耗时, 0, 0, C重发数据包数量, 0))
            continue
        elif REQ_ack in D_TCP['S_ACK_FIN_SeqKey']:
            Log.debug(f"    【E】找不到响应数据,找到服务端发送FIN终止连接:{D_TCP['S_ACK_FIN_SeqKey'][REQ_ack]}")
            响应状态码 = 3 ## 自定义,两种方法都找不到响应信息,且找到服务端发起了FIN终止
            L_TCP_TIME.append((REQ_ack, C发送请求时间戳, 请求类型, 响应状态码, 0, C发完请求耗时, 0, 0, C重发数据包数量, 0))
            continue
        else:
            Log.debug("    【E】两种方法都找不到响应信息,且没有发现C发的RST信息,应该是真没有响应")
            响应状态码 = 2 ## 自定义,两种方法都找不到响应信息,且没有发现C发的RST信息,应该是真没有响应
            L_TCP_TIME.append((REQ_ack, C发送请求时间戳, 请求类型, 响应状态码, 0, C发完请求耗时, 0, 0, C重发数据包数量, 0))
            continue
        
        ## 2个方法中任意成功一个就继续分析
        S发送响应数据包列表 = D_TCP['D_S_ACK_DATA'][S响应ACK]
        
        ## 有响应响应信息会继续下面的分析

        
        ## 当客户端发起RST,服务器依据可能返回响应数据,为了区分出这种情况,最后再查一下这个,修改响应码标识
        if S响应ACK in D_TCP['C_ACK_RST_SeqKey']:
            Log.debug(f"    【W】有响应的情况下C主动终止了连接:RST_Seq=S响应ACK={S响应ACK} 在 D_TCP['C_ACK_RST_SeqKey']出现(设置自定义SC=4)")
            响应状态码 = 4    # 自定义,有响应的情况下表示C发起了RST,强制断开连接
        
        ## 检查一下有没有异常的数据包(乱序/编号有问题)
        if 检查数据包编号(S发送响应数据包列表) == 1:
            Log.debug("    【WARNING】数据包编号有乱序")
        else:
            Log.debug("    数据包编号正常(单包请求忽略检查)")
        
        ## 接到的正常响应包
        R_REQ_DATA_LEN = 0
        for i in S发送响应数据包列表:
            Log.debug(f"        {请求类型} 响应信息 {i}")
            R_REQ_DATA_LEN += i[3]
        
        ## S重发响应数据包,(Seq,Ack)重复的包
        S重发数据包数量 = 0
        #if S响应ACK in D_TCP['D_S_ACK_DATA_RPT']:
        #    for i in D_TCP['D_S_ACK_DATA_RPT'][S响应ACK]:
        #        Log.debug(f"        重发 {请求类型} 响应信息 {i}")
        #        S重发数据包数量 += 1
        
        Log.debug("    S 响应数据统计:正常 %d 个,共 %d 字节,响应状态码 %d,重发 %d 个" % (len(S发送响应数据包列表), R_REQ_DATA_LEN, 响应状态码, S重发数据包数量))
        S发送响应数据包首数据 = S发送响应数据包列表[0]
        S发送响应数据包尾数据 = S发送响应数据包列表[-1]
        S处理请求耗时 = S发送响应数据包首数据[0] - C发送请求尾包[0]
        Log.debug(f'    S 发送响应数据时间 {S发送响应数据包首数据[0]}')
        Log.debug(f'    S 发完响应数据时间 {S发送响应数据包尾数据[0]}')
        S发完响应数据耗时 = S发送响应数据包尾数据[0] - S发送响应数据包首数据[0]
        Log.debug("    S 发完响应数据耗时 %.6f (不含重发数据的时间)" % (S发完响应数据耗时))
        Log.debug("    S 处理 %s  耗时 %.6f 秒 (S发送响应数据首包时间 - C发送请求数据尾包时间)" % (请求类型, S处理请求耗时))
        C完成请求耗时 = S发送响应数据包尾数据[0] - C发送请求时间戳
        Log.debug("    完成 %s  总耗时 %.6f 秒 (S发送响应数据尾包时间 - C发送请求数据首包时间)" % (请求类型, C完成请求耗时))
        ## 记录耗时(正常情况)
        L_TCP_TIME.append((REQ_ack, C发送请求时间戳, 请求类型, 响应状态码, C完成请求耗时, C发完请求耗时, S处理请求耗时, S发完响应数据耗时, C重发数据包数量, S重发数据包数量))

        ## 查看重复的首个请求信息
        #if K in D_TCP['C_HTTP_REQ_RPT']:
        #    Log.warning(f"【WARNING】请求首包有重发 {D_TCP['C_HTTP_REQ_RPT'][K]}")
        Log.debug('')
    return(L_TCP_TIME)


## 请求耗时信息汇总 L_TCP_TIME
def SHOW_TCP_ALTERNATELY_TIME(L_TCP_TIME, 视角='S'):
    Log.debug('')
    if L_TCP_TIME != []:
        if 视角 == 'S':
            Log.debug("【每个请求发出到收完响应数据的耗时信息(服务端抓包)单位秒】")
            Log.debug(" %-9s %-9s %4s %3s     %5s %7s %7s %7s  %4s  %4s" % ('请求(ack)','时间戳','类型','SC','COMP','C_req','SYS','S_send','C_RPT','S_RPT'))
        else:
            Log.debug("【每个请求发出到收完响应数据的耗时信息(客户端抓包)单位秒】")
            Log.debug(" %-9s %-9s %4s %3s     %5s %7s %7s %7s  %4s  %4s" % ('请求(ack)','时间戳','类型','SC','COMP','C_req','SYS_NET','S_send','C_RPT','S_RPT'))
        for i in L_TCP_TIME:
            Log.debug(" %10d  %.2f  %4s  %-4d %7.3f %7.3f %7.3f %7.3f   %4d   %4d" % i)
        Log.debug('')


## 正常返回0 错误返回1
def 检查数据包编号(L):
    #Log.debug(f"   L{L}")
    #Log.debug(f"    S 0 {L[0]}")
    数量 = len(L)
    if 数量 > 1:
        SEQ = L[0][1]
        LEN = L[0][3]
        for i in range(1, 数量):
            if L[i][1] == SEQ + LEN:
                SEQ = SEQ + LEN
                LEN = L[i][3]
                #Log.debug(f"    V {i} {L[i]}")
            else:
                #Log.debug(f"    X {i} {L[i]}")
                Log.debug(f"    【DEBUG】错误包{L[i]}")
                return(1)
    return(0)



## 整个TCP交互的开始和结束时间
def 整个TCP交互的开始和结束时间(D_TCP, L_DATA):
    if D_TCP['C_SYN'] == ():
        C_发起开始时间 = L_DATA[0][1]             # 第一个包的时间戳
    else:
        C_发起开始时间 = D_TCP['C_SYN'][0]
    if D_TCP['C_ACK_FIN'] == ():
        C_发起结束时间 = L_DATA[-1][1]            # 最后一个包的时间戳
    else:
        C_发起结束Ack = D_TCP['C_ACK_FIN'][2]                    ## D_TCP['C_ACK_FIN'] = (时间戳, Seq, Ack, TCP数据长度)
        if C_发起结束Ack in D_TCP['D_C_ACK']:
            C_发起结束时间 = D_TCP['D_C_ACK'][C_发起结束Ack][0][0]   ## C FIN 前的ack纯确认包作为实际交互结束时间点
        else:
            C_发起结束Seq = D_TCP['C_ACK_FIN'][1]
            C_发起结束时间 = D_TCP['D_S_ACK_DATA'][C_发起结束Seq][0][0]   ## C FIN 前的服务端最后数据包作为交互结束时间点(客户端直接结束交互的情况)

    return(C_发起开始时间, C_发起结束时间)
    


## 从TCP会话字典信息D_TCP中统计分析 Keep-Alive 时间(分服务端原因造成的和客户端原因造成的情况)
## L_C_KeepAlive_RANGE (客户端原因等待的时间戳区间列表:可能是客户端在等待什么,如等待用户输入,等待其他任务完成)
## L_S_KeepAlive_RANGE (服务端原因等待的时间戳区间列表:可能是服务端在处理耗时的请求)
def 分析KeepAlive耗时(D_TCP):
    L_C_KeepAlive_RANGE = []
    L_S_KeepAlive_RANGE = []

    ## 先分析C首先发起KeepAlive的情况
    Log.debug(f"  遍历 D_TCP['C_TCP_Keep_Alive']")
    for Ack in D_TCP['C_TCP_Keep_Alive']:                                                                   # 每个客户端发起每段保持连接信息(相同Ack是同一KeepAlive区间)
        Log.debug(f"    {Ack}:{D_TCP['C_TCP_Keep_Alive'][Ack]}")
        归属标识 = ''                                                                                       # 需要判断是客户端还是服务器原因造成的KeepAlive
        C_time = D_TCP['C_TCP_Keep_Alive'][Ack][0][0]                                                       # 本段C发起KeepAlive的第一个包的时间戳
        C_seq = D_TCP['C_TCP_Keep_Alive'][Ack][0][1]                                                        # 本段C发起KeepAlive的第一个包的seq
        if C_seq+1 in D_TCP['S_TCP_Keep_Alive'] and D_TCP['S_TCP_Keep_Alive'][C_seq+1][0][0] < C_time:      # S比C早发起保持连接,忽略C,按S的算(防止后面处理S发起KeepAlive时重复计算)
            Log.debug(f"    忽略{D_TCP['C_TCP_Keep_Alive'][Ack][0]}")
        else:
            Log.debug(f"    确认{D_TCP['C_TCP_Keep_Alive'][Ack][0]}")
            ## 根据 KeepAlive 前后的数据包判断 KeepAlive 是谁的原因造成的
            ## 往前找开始KeepAlive的包(比KeepAlive包提前一个才是真实开始等待的时间)
            if C_seq+1 in D_TCP['D_S_ACK_DATA'] and C_time>=D_TCP['D_S_ACK_DATA'][C_seq+1][-1][0]:          # 客户端发KeepAlive,客户端seq+1会是服务端发数据Ack,所以在D_TCP['D_S_ACK_DATA']中找
                Log.debug(f"    (始)前包服务器响应数据,归客户端原因 ACK(C_seq+1)={C_seq+1} in D_TCP['D_S_ACK_DATA']={D_TCP['D_S_ACK_DATA'][C_seq+1]}")
                选择开始保持连接的数据包 = D_TCP['D_S_ACK_DATA'][C_seq+1][-1]                               # 开始部分要找最后一个数据包
                归属标识 = 'C'
            elif Ack in D_TCP['D_C_ACK_DATA'] and C_time>=D_TCP['D_C_ACK_DATA'][Ack][-1][0]:                # 客户端发KeepAlive,但是客户端发数据在等待服务端,所以在D_TCP['D_C_ACK_DATA']中找,ACK相同
                Log.debug(f"    (始)前包客户端响应数据,归服务端原因ACK={Ack} in D_TCP['D_C_ACK_DATA']={D_TCP['D_C_ACK_DATA'][Ack]}")
                选择开始保持连接的数据包 = D_TCP['D_C_ACK_DATA'][Ack][-1]                                   # 开始部分要找最后一个数据包
                归属标识 = 'S'
            else:
                if D_TCP['C_TCP_Keep_Alive'][Ack][0][5] == D_TCP['L_DATA'][0][0]:                           # 在会话抓到的开头的包就是KeepAlive(第一个包的第一个编号判断)
                    ## 往后找
                    Log.debug(f"    开头的包就是KeepAlive(C发起),根据KeepAlive结束后是C发请求还是S响应数据来判断是谁的原因造成本次KeepAlive")
                    if Ack in D_TCP['D_C_ACK_DATA'] and C_time <= D_TCP['D_C_ACK_DATA'][Ack][0][0]:
                        Log.debug(f"    (始)后包客户端请求数据,归客户端原因 ACK={Ack} in D_TCP['D_C_ACK_DATA']={D_TCP['D_C_ACK_DATA'][Ack]} 本身为开始计时包{D_TCP['C_TCP_Keep_Alive'][Ack]}")
                        归属标识 = 'C'
                    elif C_seq+1 in D_TCP['D_S_ACK_DATA'] and C_time <= D_TCP['D_S_ACK_DATA'][C_seq+1][0][0]:
                        Log.debug(f"    (始)后包服务器响应数据,归服务端原因 ACK(C_seq+1)={C_seq+1} in D_TCP['D_S_ACK_DATA']={D_TCP['D_S_ACK_DATA'][C_seq+1]} 本身为开始计时包{D_TCP['C_TCP_Keep_Alive'][Ack]}")
                        归属标识 = 'S'
                    else:
                        Log.debug(f"    判断不出KeepAlive是哪方原因造成的")
                        continue
                    选择开始保持连接的数据包 = D_TCP['C_TCP_Keep_Alive'][Ack][0]
                else:
                    Log.debug(f"    不在D_S_ACK_DATA及D_C_ACK_DATA中,有问题")
                    continue
            
            等待开始时间 = 选择开始保持连接的数据包[0]
            
            ## 找结束KeepAlive,开始发有效数据的第一个包(比KeepAlive包晚一个才是真实结束等待的时间)
            if Ack in D_TCP['D_C_ACK_DATA'] and C_time<=D_TCP['D_C_ACK_DATA'][Ack][0][0]:
                Log.debug(f"    (终)ACK={Ack} in D_TCP['D_C_ACK_DATA']={D_TCP['D_C_ACK_DATA'][Ack]}")
                选择标识结束保持连接的数据包 = D_TCP['D_C_ACK_DATA'][Ack][0]
            elif C_seq+1 in D_TCP['D_S_ACK_DATA'] and C_time<=D_TCP['D_S_ACK_DATA'][C_seq+1][0][0]:
                Log.debug(f"    (终)ACK(C_seq+1)={C_seq+1} in D_TCP['D_S_ACK_DATA']={D_TCP['D_S_ACK_DATA'][C_seq+1]}")
                选择标识结束保持连接的数据包 = D_TCP['D_S_ACK_DATA'][C_seq+1][0]
            else:
                ## 有可能等待最后都没有后续数据,找最后一个保持连接的包
                Log.debug("    (W)找不到后续数据包")
                X1 = D_TCP['C_TCP_Keep_Alive'][Ack][-1]
                if C_seq+1 in D_TCP['S_TCP_Keep_Alive']:
                    X2 = D_TCP['S_TCP_Keep_Alive'][C_seq+1][-1]
                    if X1[0] > X2[0]:
                        选择标识结束保持连接的数据包 = X1
                    else:
                        选择标识结束保持连接的数据包 = X2
                else:
                    选择标识结束保持连接的数据包 = X1
                Log.debug(f"    (终)选择标识结束保持连接的数据包={选择标识结束保持连接的数据包}")
                
            等待结束时间 = 选择标识结束保持连接的数据包[0]
            Log.debug(f"      {选择开始保持连接的数据包} <-{归属标识} KeepAlive 时间区间-> {选择标识结束保持连接的数据包}")

            if 归属标识 == 'C':
                L_C_KeepAlive_RANGE.append((等待开始时间, 等待结束时间))
            elif 归属标识 == 'S':
                L_S_KeepAlive_RANGE.append((等待开始时间, 等待结束时间))
            else:
                pass
        #Log.debug("")
    
    ## 再分析S首先发起KeepAlive的情况
    Log.debug(f"  遍历 D_TCP['S_TCP_Keep_Alive']")
    for Ack in D_TCP['S_TCP_Keep_Alive']:                                                                   # 每个服务端发起每段保持连接信息(相同Ack是同一KeepAlive区间)
        Log.debug(f"    {Ack}:{D_TCP['S_TCP_Keep_Alive'][Ack]}")
        归属标识 = ''                                                                                       # 需要判断是客户端还是服务器原因造成的KeepAlive
        C_time = D_TCP['S_TCP_Keep_Alive'][Ack][0][0]                                                       # 本段S发起KeepAlive的第一个包的时间戳
        C_seq = D_TCP['S_TCP_Keep_Alive'][Ack][0][1]                                                        # 本段S发起KeepAlive的第一个包的seq
        if C_seq+1 in D_TCP['C_TCP_Keep_Alive'] and D_TCP['C_TCP_Keep_Alive'][C_seq+1][0][0] < C_time:      # C比S早发起保持连接,忽略S,按C的算(前面已经处理防止重复计算)
            Log.debug(f"    忽略{D_TCP['S_TCP_Keep_Alive'][Ack][0]}")
        else:
            Log.debug(f"    确认{D_TCP['S_TCP_Keep_Alive'][Ack][0]}")
            ## 根据 KeepAlive 前后的数据包判断 KeepAlive 是谁的原因造成的
            ## 往前找开始KeepAlive的包(比KeepAlive包提前一个才是真实开始等待的时间)
            if C_seq+1 in D_TCP['D_C_ACK_DATA'] and C_time>=D_TCP['D_C_ACK_DATA'][C_seq+1][-1][0]:          # 客户端发KeepAlive,客户端seq+1会是服务端发数据Ack,所以在D_TCP['D_C_ACK_DATA']中找
                Log.debug(f"    (始)前包客户端请求数据,归服务端原因 ACK(C_seq+1)={C_seq+1} in D_TCP['D_C_ACK_DATA']={D_TCP['D_C_ACK_DATA'][C_seq+1]}")
                选择开始保持连接的数据包 = D_TCP['D_C_ACK_DATA'][C_seq+1][-1]
                归属标识 = 'S'
            elif Ack in D_TCP['D_S_ACK_DATA'] and C_time>=D_TCP['D_S_ACK_DATA'][Ack][-1][0]:                # 客户端发KeepAlive,但是客户端发数据在等待服务端,所以在D_TCP['D_S_ACK_DATA']中找,ACK相同
                Log.debug(f"    (始)前包服务端响应数据,归客户端原因ACK={Ack} in D_TCP['D_S_ACK_DATA']={D_TCP['D_S_ACK_DATA'][Ack]}")
                选择开始保持连接的数据包 = D_TCP['D_S_ACK_DATA'][Ack][-1]
                归属标识 = 'C'
            else:
                if D_TCP['S_TCP_Keep_Alive'][Ack][0][5] == D_TCP['L_DATA'][0][0]:                           # 在会话抓到的开头的包就是KeepAlive(第一个包的第一个编号判断)
                    Log.debug(f"    开头的包就是KeepAlive(S发起),根据KeepAlive结束后是C发请求还是S响应数据来判断是谁的原因造成本次KeepAlive")
                    ## 往后找
                    if C_seq+1 in D_TCP['D_C_ACK_DATA'] and C_time <= D_TCP['D_C_ACK_DATA'][C_seq+1][0][0]: # C请求
                        Log.debug(f"    (始)后包客户端请求数据,归客户端原因 ACK={Ack} in D_TCP['D_C_ACK_DATA']={D_TCP['D_C_ACK_DATA'][Ack]} 本身为开始计时包{D_TCP['S_TCP_Keep_Alive'][Ack]}")
                        归属标识 = 'C'
                    elif Ack in D_TCP['D_S_ACK_DATA'] and C_time <= D_TCP['D_S_ACK_DATA'][Ack][0][0]:       # S响应
                        Log.debug(f"    (始)后包服务器响应数据,归服务端原因 ACK(C_seq+1)={C_seq+1} in D_TCP['D_S_ACK_DATA']={D_TCP['D_S_ACK_DATA'][C_seq+1]} 本身为开始计时包{D_TCP['C_TCP_Keep_Alive'][Ack]}")
                        归属标识 = 'S'
                    else:
                        Log.debug(f"    判断不出KeepAlive是哪方原因造成的")
                        continue
                    选择开始保持连接的数据包 = D_TCP['S_TCP_Keep_Alive'][Ack][0]
                else:
                    Log.error(f"    不在D_C_ACK_DATA及D_S_ACK_DATA中,有问题")
                    continue
            
            等待开始时间 = 选择开始保持连接的数据包[0]
            
            ## 找结束KeepAlive,开始发有效数据的第一个包(比KeepAlive包晚一个才是真实结束等待的时间)
            if Ack in D_TCP['D_S_ACK_DATA'] and C_time<=D_TCP['D_S_ACK_DATA'][Ack][0][0]:
                Log.debug(f"    (终)ACK={Ack} in D_TCP['D_S_ACK_DATA']={D_TCP['D_S_ACK_DATA'][Ack]}")
                选择标识结束保持连接的数据包 = D_TCP['D_S_ACK_DATA'][Ack][0]
            elif C_seq+1 in D_TCP['D_C_ACK_DATA'] and C_time<=D_TCP['D_C_ACK_DATA'][C_seq+1][0][0]:
                Log.debug(f"    (终)ACK(C_seq+1)={C_seq+1} in D_TCP['D_C_ACK_DATA']={D_TCP['D_C_ACK_DATA'][C_seq+1]}")
                选择标识结束保持连接的数据包 = D_TCP['D_C_ACK_DATA'][C_seq+1][0]
            else:
                ## 有可能等待最后都没有后续数据,找最后一个保持连接的包
                Log.debug("    (W)找不到后续数据包")
                X1 = D_TCP['S_TCP_Keep_Alive'][Ack][-1]
                if C_seq+1 in D_TCP['C_TCP_Keep_Alive']:
                    X2 = D_TCP['C_TCP_Keep_Alive'][C_seq+1][-1]
                    if X1[0] > X2[0]:
                        选择标识结束保持连接的数据包 = X1
                    else:
                        选择标识结束保持连接的数据包 = X2
                else:
                    选择标识结束保持连接的数据包 = X1
                Log.debug(f"    (终)选择标识结束保持连接的数据包={选择标识结束保持连接的数据包}")
                
            等待结束时间 = 选择标识结束保持连接的数据包[0]
            Log.debug(f"      {选择开始保持连接的数据包} <-{归属标识} KeepAlive 时间区间-> {选择标识结束保持连接的数据包}")

            if 归属标识 == 'C':
                L_C_KeepAlive_RANGE.append((等待开始时间, 等待结束时间))
            elif 归属标识 == 'S':
                L_S_KeepAlive_RANGE.append((等待开始时间, 等待结束时间))
            else:
                pass
        #Log.debug("")
    
    return(L_C_KeepAlive_RANGE, L_S_KeepAlive_RANGE)



## 客户端响应ACK消息和下次客户端发送请求的时间间隔(这两个seq和ack相同的情况是没有Keep-Alive的,可区分)
def 客户端发起请求间隔耗时(D_TCP):
    '''
    28 1625539397.99094  192.168.100.252 192.168.100.13   9577  1433 3622347657 1299493386 ACK PSH   45 C_req       256  0x5e0 
    29 1625539397.991202 192.168.100.13  192.168.100.252  1433  9577 1299493386 3622347702 ACK PSH   26     S_ack   260  0xe40
    
    30 1625539398.031743 192.168.100.252 192.168.100.13   9577  1433 3622347702 1299493412 ACK        0             256 0x6ddb 上次交互完成(响应以接完S数据包)
    31 1625539414.326215 192.168.100.252 192.168.100.13   9577  1433 3622347702 1299493412 ACK PSH  275 C_req       256 0x3438 下次交互开始
    
    32 1625539414.326322 192.168.100.13  192.168.100.252  1433  9577 1299493412 3622347977 ACK PSH   68     S_ack   258 0x4780 
    '''
    L_TIME_Client_WAIT = []                                         # 客户端发起请求间隔耗时的每段时间戳
    for ACK in D_TCP['D_C_ACK']:                                    # 遍历C响应收到S数据的包(先响应后发数据,说明本地数据处理要时间或等待用户输入指令等)
        if ACK not in D_TCP['C_TCP_Keep_Alive']:                    # 不是 Keep-Alive 的情况才计算相邻两次请求的间隔时间
            TIME1, Seq1, Ack1, A1, B1 = D_TCP['D_C_ACK'][ACK][0]    # 客户端响应服务器对上次请求收到服务器的响应【多个包只取第一个】
            if Ack1 in D_TCP['D_C_ACK_DATA']:                       # 找到紧接着的下一次请求
                for j in D_TCP['D_C_ACK_DATA'][Ack1]:
                    TIME2, Seq2, Ack2, A2, B2, C2 = j
                    if Seq1 == Seq2 and Ack1 == Ack2:
                        #Log.debug(f"[TIME]= {TIME2-TIME1} 下次交互开始={j} - 上次交互完成={D_TCP['D_C_ACK'][ACK][0]}")
                        L_TIME_Client_WAIT.append((TIME1, TIME2))
                        break
        #    else:
        #        Log.debug("找不到下次请求信息,Ack1 不在 D_TCP['D_C_ACK_DATA'] 中")
        #else:
        #    Log.debug(f"D_TCP['D_C_ACK'][ACK] 有保持连接记录,忽略计算 {D_TCP['D_C_ACK'][ACK]}")
        #Log.debug('')
    return(L_TIME_Client_WAIT)



## 从TCP会话字典信息D_TCP中统计分析 接收窗口大小=0 造成的时间消耗(分服务端原因造成的和客户端原因造成的情况)
## 返回 L_C_WIN_0_RANGE 客户端接收窗口满时间段列表 [(TimeStart, TimeEnd),]
## 返回 L_S_WIN_0_RANGE 服务端接收窗口满时间段列表 [(TimeStart, TimeEnd),]
def 分析接收窗口满耗时(D_TCP):
    #print("D_TCP['D_C_WIN_0']", D_TCP['D_C_WIN_0'])
    #print("D_TCP['D_S_WIN_0']", D_TCP['D_S_WIN_0'])
    L_C_WIN_0_RANGE = []
    L_S_WIN_0_RANGE = []
    for K in D_TCP['D_C_WIN_0']:
        TimeStart = D_TCP['D_C_WIN_0'][K][0][0]
        if K in D_TCP['D_C_ACK']:
            TimeEnd = D_TCP['D_C_ACK'][K][-1][0]
        else:
            TimeEnd = D_TCP['D_C_WIN_0'][K][-1][0]
        L_C_WIN_0_RANGE.append((TimeStart, TimeEnd))
    for K in D_TCP['D_S_WIN_0']:
        TimeStart = D_TCP['D_S_WIN_0'][K][0][0]
        if K in D_TCP['D_S_ACK']:
            TimeEnd = D_TCP['D_S_ACK'][K][-1][0]
        else:
            TimeEnd = D_TCP['D_S_WIN_0'][K][-1][0]
        L_S_WIN_0_RANGE.append((TimeStart, TimeEnd))
    return(L_C_WIN_0_RANGE, L_S_WIN_0_RANGE)



## 画图,TCP会话交互中各种用时信息画成图(开始时间结束时间、保持连接时间和客户端请求间隔等待时间等)
def TCP会话用时信息画图(TCP_START_TIME_MIN, TCP_END_TIME_MAX, D_C_KeepAlive, D_C_WAIT, D_S_KeepAlive, D_C_WIN_0_TIME, D_S_WIN_0_TIME):

    开始时间点 = int(TCP_START_TIME_MIN)
    结束时间点 = int(TCP_END_TIME_MAX)
    X = [i for i in range(开始时间点, 结束时间点+1)]
    X_TEXT = [time.strftime('%H:%M:%S', time.localtime(i)) for i in range(开始时间点, 结束时间点+1)]
    #print(f"X轴时间戳 X[0]={X[0]} X[-1]={X[-1]}")
    #print(X_TEXT)
    
    D_Y = {}
    #print("D_C_KeepAlive", D_C_KeepAlive)
    for K in D_C_KeepAlive:
        
        L_S_KeepAlive_RANGE = D_S_KeepAlive[K]              # 提取这个key下的KeepAlive时间区间列表
        P_S_KeepAlive_TIME = set()                          # 把所有时间按秒生成集合,方便匹配查找
        for TIMEs in L_S_KeepAlive_RANGE:                   # 遍历每一个KeepAlive时间区间
            t1 = TIMEs[0]                                   # 开始时间
            t2 = TIMEs[1]                                   # 结束时间
            L = [i for i in range(int(t1), int(t2))]        # 以秒为单位生成时间区间列表
            LP = set(L)                                     # 时间区间列表 转 时间区间集合
            P_S_KeepAlive_TIME = P_S_KeepAlive_TIME | LP    # 并集
            
        L_C_KeepAlive_RANGE = D_C_KeepAlive[K]
        P_C_KeepAlive_TIME = set()
        for TIMEs in L_C_KeepAlive_RANGE:
            L = [i for i in range(int(TIMEs[0]), int(TIMEs[1]))]
            P_C_KeepAlive_TIME = P_C_KeepAlive_TIME | set(L)

        L_TIME_Client_WAIT = D_C_WAIT[K]
        P_C_WAIT_TIME = set()
        for TIMEs in L_TIME_Client_WAIT:
            L = [i for i in range(int(TIMEs[0]), int(TIMEs[1]))]
            P_C_WAIT_TIME = P_C_WAIT_TIME | set(L)

        L_C_WIN_0_RANGE = D_C_WIN_0_TIME[K]
        P_C_WIN_0_TIME = set()
        for TIMEs in L_C_WIN_0_RANGE:
            L = [i for i in range(int(TIMEs[0]), int(TIMEs[1]))]
            P_C_WIN_0_TIME = P_C_WIN_0_TIME | set(L)
        
        L_S_WIN_0_RANGE = D_S_WIN_0_TIME[K]
        P_S_WIN_0_TIME = set()
        for TIMEs in L_S_WIN_0_RANGE:
            L = [i for i in range(int(TIMEs[0]), int(TIMEs[1]))]
            P_S_WIN_0_TIME = P_S_WIN_0_TIME | set(L)
        
        Y = []                              # 为每个Key对应的交互生成各自Y值
        ## ax.set_yticklabels(['-2','Start/End(-1)','RUN(0)','Client-Wait(1)','(C)Keep-Alive(2)','(S)Keep-Alive(3)','(C)windows=0(4)','(S)windows=0(5)']) # 自定义Y轴刻度
        for i in X:                         # 遍历整个时间区间(所有交互统一的时间区间)
            if i < 开始时间点 or i > 结束时间点:
                Y.append(-2)                # 超出开始和结束时间
            elif i in (开始时间点, 结束时间点):
                Y.append(-1)                # 标记开始和结束时间
            elif i in P_C_KeepAlive_TIME:
                Y.append(2)                 # C发起保持连接造成的等待
            elif i in P_S_KeepAlive_TIME:
                Y.append(3)                 # S发起保持连接造成的等待
            elif i in P_C_WAIT_TIME:
                Y.append(1)                 # 等待客户端发包造成的等待
            elif i in P_C_WIN_0_TIME:
                Y.append(4)                 # 客户端接收窗口满造成的等待
            elif i in P_S_WIN_0_TIME:
                Y.append(5)                 # 服务端接收窗口满造成的等待
            else:
                Y.append(0)                 # 正在运行的时间
                #Log.debug(f"RUN {i}")
        D_Y[K] = Y

    ## 分成多个图显示(通用、可控)
    X轴刻度数量 = 10               # X轴只显示10个刻度
    X轴间隔 = len(X)//X轴刻度数量
    if X轴间隔 == 0:               # 按秒合并的时间刻度,可能会少于10个
        X轴间隔 = 1                # 显示每一个刻度
    图数量 = len(D_Y)
    import matplotlib.pyplot as plt
    import matplotlib.ticker as ticker                                     # 解决时间为X轴可能会造成刻度太密集,看不清问题
    if 图数量 == 1:
        L_KEY = [KEY for KEY in D_Y]
        fig, ax = plt.subplots(1,1)
        ax.xaxis.set_major_locator(ticker.MultipleLocator(X轴间隔))        # X轴间隔刻度
        ax.yaxis.set_major_locator(ticker.MultipleLocator(1))              # 强制Y轴每个刻度都显示
        ax.plot(X_TEXT, D_Y[L_KEY[0]], '.', label=L_KEY[0], markersize=2)
        ax.set_yticklabels(['-2','Start/End(-1)','RUN(0)','Client-Wait(1)','(C)Keep-Alive(2)','(S)Keep-Alive(3)','(C)windows=0(4)','(S)windows=0(5)']) # 自定义Y轴刻度
        ax.legend()                                  # 显示图例label
        plt.ylim(-1.5,5.5)                           # 控制y轴显示范围,隐藏-1值
        #plt.grid()                                  # 使用网格,方便查看XY对应
        plt.xlabel('Time')                           # X轴标注
        #plt.title('TITLE')                          # 标题
        plt.show()
    else:
        fig, ax = plt.subplots(图数量, 1, sharex=True, sharey=True, figsize=(20,10))                    # n行1列,统一X和Y轴刻度
        plt.ylim(-1.5,3.5)                                                                              # 控制y轴显示范围,隐藏-1值
        AX_List = ax.ravel()                                                                            # 子图列表:AX_List[0]第一个子图,AX_List[1]第二个子图...
        L_KEY = [KEY for KEY in D_Y]
        
        for n in range(0, 图数量):
            AX_List[n].plot(X_TEXT,D_Y[L_KEY[n]], '.', label=L_KEY[n], markersize=2)                    # 第1个图的第1根线
            AX_List[n].legend()                                                                         # 显示图例label
            AX_List[n].set_yticklabels(['-2','Start/End(-1)','RUN(0)','Client-Wait(1)','(C)Keep-Alive(2)','(S)Keep-Alive(3)','(C)windows=0(4)','(S)windows=0(5)']) # 自定义Y轴刻度
            AX_List[n].xaxis.set_major_locator(ticker.MultipleLocator(X轴间隔))                         # X轴间隔N标一个刻度
            AX_List[n].yaxis.set_major_locator(ticker.MultipleLocator(1))                               # 强制Y轴每个刻度都显示
        plt.show()



## 记录日志
def SHOW_TIME_WAIT(C_发起开始时间, C_发起结束时间, L_TIME_Client_WAIT, L_C_KeepAlive_RANGE, L_S_KeepAlive_RANGE, L_C_WIN_0_RANGE, L_S_WIN_0_RANGE, D_TCP):

    会话总用时 = C_发起结束时间 - C_发起开始时间
    开始时间 = time.strftime('%H:%M:%S', time.localtime(C_发起开始时间))
    结束时间 = time.strftime('%H:%M:%S', time.localtime(C_发起结束时间))
    源地址, 源端口 = D_TCP['CLIENT']
    目的地址, 目的端口 = D_TCP['SERVER']
    
    ## 时间合计
    C_KeepAlive时间合计 = sum([i[1]-i[0] for i in L_C_KeepAlive_RANGE])
    C_KeepAlive间隔明细 = [(time.strftime('%H:%M:%S', time.localtime(i[0])), time.strftime('%H:%M:%S', time.localtime(i[1]))) for i in L_C_KeepAlive_RANGE]
    
    S_KeepAlive时间合计 = sum([i[1]-i[0] for i in L_S_KeepAlive_RANGE])
    S_KeepAlive间隔明细 = [(time.strftime('%H:%M:%S', time.localtime(i[0])), time.strftime('%H:%M:%S', time.localtime(i[1]))) for i in L_S_KeepAlive_RANGE]
    
    C间隔发包时间合计 = sum([i[1]-i[0] for i in L_TIME_Client_WAIT])
    
    C接收窗口满耗时合计 = sum([i[1]-i[0] for i in L_C_WIN_0_RANGE])
    C接收窗口满耗时明细 = [(time.strftime('%H:%M:%S', time.localtime(i[0])), time.strftime('%H:%M:%S', time.localtime(i[1]))) for i in L_C_WIN_0_RANGE]
    S接收窗口满耗时合计 = sum([i[1]-i[0] for i in L_S_WIN_0_RANGE])
    S接收窗口满耗时明细 = [(time.strftime('%H:%M:%S', time.localtime(i[0])), time.strftime('%H:%M:%S', time.localtime(i[1]))) for i in L_S_WIN_0_RANGE]
    
    程序正常交互用时合计 = 会话总用时 - C_KeepAlive时间合计 - S_KeepAlive时间合计 - C间隔发包时间合计 - C接收窗口满耗时合计 - S接收窗口满耗时合计
    
    T_DATA = (源地址, 源端口, 目的地址, 目的端口, 开始时间, 结束时间, round(会话总用时,2), round(C_KeepAlive时间合计,2), round(S_KeepAlive时间合计,2), round(C间隔发包时间合计,2), round(C接收窗口满耗时合计,2), round(S接收窗口满耗时合计,2), round(程序正常交互用时合计,2))
    Log.info("%-15s %-5s <--> %-15s %-5s    %8s %8s %10s %10s  %9s %13s %13s %13s %9s" % T_DATA)
    Log.debug(f"  C_KeepAlive间隔明细={C_KeepAlive间隔明细}")
    Log.debug(f"  S_KeepAlive间隔明细={S_KeepAlive间隔明细}")
    Log.debug(f"  C接收窗口满耗时明细={C接收窗口满耗时明细}")
    Log.debug(f"  S接收窗口满耗时明细={S接收窗口满耗时明细}")
    Log.debug(f"  C_发包间隔明细")
    for i in L_TIME_Client_WAIT:
        TIME1,TIME2 = i
        #if TIME2-TIME1 > 0.5:   # 间隔大于0.5秒的才记录明细,太短没有显示必要
        Log.debug(f"    {i}={time.strftime('%H:%M:%S', time.localtime(TIME1))} -> {time.strftime('%H:%M:%S', time.localtime(TIME2))} 时间间隔={round(TIME2-TIME1, 6)}秒")
    
    return(T_DATA)



## 统计整个会话中收发数据情况
def 统计整个会话中收发数据情况(D_TCP):
    C_Tx_DATA_ALL = D_TCP['C_Tx_DATA_ALL']
    S_Tx_DATA_ALL = D_TCP['S_Tx_DATA_ALL']
    try:
        C_FIN_SEQ = D_TCP['C_ACK_FIN'][1]
    except:
        Log.debug('无C_FIN_SEQ')
        Log.debug(f"C_Tx_DATA_ALL={C_Tx_DATA_ALL}")
        Log.debug(f"S_Tx_DATA_ALL={S_Tx_DATA_ALL}")
    else:
        if C_Tx_DATA_ALL == C_FIN_SEQ:
            Log.debug(f"C_Tx_DATA_ALL={C_Tx_DATA_ALL} 正常")
        else:
            Log.debug(f"C_Tx_DATA_ALL={C_Tx_DATA_ALL} 异常")
        
        for K in D_TCP['S_ACK_FIN_SeqKey']:
            S_FIN_SEQ = D_TCP['S_ACK_FIN_SeqKey'][K][0][1]
            if S_Tx_DATA_ALL == S_FIN_SEQ:
                Log.debug(f"S_Tx_DATA_ALL={S_Tx_DATA_ALL} 正常")
            else:
                Log.debug(f"S_Tx_DATA_ALL={S_Tx_DATA_ALL} 异常")
        Log.debug('')



## 返回 D_TIME_TCP_SESSION_PACKET  字典:Key=时间戳(精确到秒),Value=这一秒内包数据和大小统计信息
def 提取PCAP中指定TCP会话双向流量信息(PCAP_File_OR_Dir, SIP, SPORT, DIP, DPORT):
    #print((PCAP_File_OR_Dir, SaveDir, 匹配内容, UserIP, UserPort))
    
    ## 统计数据包信息的字典
    D_TIME_TCP_SESSION_PACKET = {}            # {时间戳:{(SIP,SPORT,DIP,DPORT):{'TCP_Packets':0, 'TCP_Bytes':0}, (DIP,DPORT,SIP,SPORT):{'TCP_Packets':0, 'TCP_Bytes':0}}}

    ## 开始处理单个或多个PCAP文件
    E = 0
    if os.path.isfile(PCAP_File_OR_Dir):
        PATH,FileName = os.path.split(PCAP_File_OR_Dir) # 拆分路径和文件名
        #print(PATH,FileName)
        PCAP_File_OR_Dir = PATH                         # 这个后面但目录用
        L_FileName = ['\\'+FileName]                    # 文件名
    elif os.path.isdir(PCAP_File_OR_Dir):
        L_FileName = os.listdir(PCAP_File_OR_Dir)       # 目录内内容列表
    else:
        print(f"{PCAP_File_OR_Dir} 不存在")
        E = 1
    
    if E == 0:
        
        文件数量 = len(L_FileName)
        TCP会话数量 = 0
        计数 = 1
        for F in L_FileName:
            FullFileName = PCAP_File_OR_Dir+str(F)
            print(f"拆分PCAP文件:{FullFileName} 进度:{计数}/{文件数量}")       ## 根据源目的IP和端口分成多个小pcap文件
            f = open(FullFileName, 'rb')        # 以二进制方式读取pcap格式文件
            PCAP_DATA = f.read(24)              # 读取前24字节头信息,忽略
            计数 += 1
            
            N = 0
            while 1:
                
                包头 = f.read(16)
                if not 包头:				    # 判断 包头 是否为空(读完或者本身为空时 S 为空)
                    break
                
                N += 1
                #if N == 14:
                #    break
                #print("N", N)

                PacketHeader = struct.unpack('IIII', 包头)
                时间戳 = PacketHeader[0]
                #微秒 = PacketHeader[1]
                #抓取数据包长度 = PacketHeader[2]       # 所抓获的数据包保存在pcap文件中的实际长度,以字节为单位。
                实际数据包长度 = PacketHeader[3]        # 所抓获的数据包的真实长度,如果文件中保存不是完整的数据包,那么这个值可能要比前面的数据包长度的值大。
                PacketData = f.read(实际数据包长度)
                
                
                
                # 以太部首
                FrameType = PacketData[12:14]               # 帧类型
                # IP数据报头
                if FrameType == b'\x08\x00':                # 普通包
                    pass
                elif FrameType == b'\x81\x00':              # VLAN包
                    PacketData = PacketData[0:12] + b'\x08\x00' + PacketData[18:]                                       ## 剔除VLAN数据
                    包头 = struct.pack('IIII', PacketHeader[0], PacketHeader[1], PacketHeader[2]-4, PacketHeader[3]-4)  ## 修改包头
                else:
                    #print("其他包忽略")
                    pass
                
                ## SrcIP SrcPort 和 DstIP DstPort 互换位置是同个TCP交互,要存入同个对象
                IP_Protocol = PacketData[23:24]
                ## 只要TCP协议
                if IP_Protocol == b'\x06':                  # 协议(TCP 6)(UDP 17)
                    
                    SrcIP_Bytes = PacketData[26:30]         # 源IP地址
                    DstIP_Bytes = PacketData[30:34]         # 目的IP地址
                    SrcIP = socket.inet_ntoa(SrcIP_Bytes)
                    DstIP = socket.inet_ntoa(DstIP_Bytes)
                    
                    SrcPort_Bytes = PacketData[34:36]
                    DstPort_Bytes = PacketData[36:38]
                    SrcPort = struct.unpack('>H', SrcPort_Bytes)[0]
                    DstPort = struct.unpack('>H', DstPort_Bytes)[0]
                    
                    ## 每一次TCP发数据生成2个Key
                    TCP_KEY_SD = (SrcIP,SrcPort,DstIP,DstPort)  # 以当前包的源到目的生成一个Key
                    #TCP_KEY_DS = (DstIP,DstPort,SrcIP,SrcPort)  # 以当前包的目的到源生成一个Key
                    
                    ## 只有分离出指定的IP的交互内容
                    if SrcIP == SIP and SrcPort == SPORT:
                        SAVE = 1
                    elif DstIP == SIP and DstPort == SPORT:
                        SAVE = 1
                    else:
                        SAVE = 0
                    
                    ## 匹配到是需要分析的数据包
                    if SAVE == 1:
                        if 时间戳 in D_TIME_TCP_SESSION_PACKET:                                                ## 全部流量统计
                            D_TIME_TCP_SESSION_PACKET[时间戳][TCP_KEY_SD]['Packets_Count'] += 1                ## 全部流量统计:全部数据包数量累计加1
                            D_TIME_TCP_SESSION_PACKET[时间戳][TCP_KEY_SD]['Packets_Bytes'] += 实际数据包长度   ## 全部流量统计:全部数据包大小累计
                        else:
                            D_TIME_TCP_SESSION_PACKET[时间戳] = {TCP_KEY_SD:{'Packets_Count': 1, 'Packets_Bytes':实际数据包长度}}

            f.close()
        print(f"【Done {time.strftime('%Y-%m-%d %H:%M:%S')}】")
    else:
        print("有错误终止操作")

    return(D_TIME_TCP_SESSION_PACKET)




## 返回 D_TCP_ALL      字典:Key=(源IP,源端口,目的IP,目的端口),Value=TCP信息字典
## 返回 D_UDP_ALL      字典:Key=(源IP,源端口,目的IP,目的端口),Value=()
## 返回 D_TIME_PACKET  字典:Key=时间戳(精确到秒),Value=这一秒内包数据和大小统计信息
## 返回 D_TCP_PACKET   字典:Key=TCP数据流方向,Value=这个方向上的数据包统计信息
def 提取PCAP中指定TCP会话数据(PCAP_File_OR_Dir, SaveDir, 匹配内容, UserIP, UserPort):
    #print((PCAP_File_OR_Dir, SaveDir, 匹配内容, UserIP, UserPort))
    
    ## 每个会话解析为TCP会话信息字典
    D_TCP_ALL = {}
    
    ## 存储每个UDP会话信息
    D_UDP_ALL = {}
    
    ## 统计数据包信息的字典
    D_TIME_PACKET = {}            # {时间戳:{'Packets_Count':0, 'Packets_Bytes':0, 'TCP_Count':0, 'TCP_Bytes':0, 'UDP_Count':0, 'UDP_Bytes':0, 'OTHER_Count':0, 'OTHER_Bytes':0}}
    D_TCP_PACKET = {}             # {(源IP,源端口,目的IP,目的端口):{'Packets':包数量, 'Bytes_Len':网络传输字节数量, 'Time_End':最后一个包的时间戳}}

    ## 开始处理单个或多个PCAP文件
    E = 0
    if os.path.isfile(PCAP_File_OR_Dir):
        PATH,FileName = os.path.split(PCAP_File_OR_Dir) # 拆分路径和文件名
        #print(PATH,FileName)
        PCAP_File_OR_Dir = PATH                         # 这个后面但目录用
        L_FileName = ['\\'+FileName]                    # 文件名
    elif os.path.isdir(PCAP_File_OR_Dir):
        L_FileName = os.listdir(PCAP_File_OR_Dir)       # 目录内内容列表
    else:
        print(f"{PCAP_File_OR_Dir} 不存在")
        E = 1
    
    try:
        if not os.path.isdir(SaveDir):
            os.makedirs(SaveDir)
        os.chdir(SaveDir)               ## 切换到存放拆分后文件的目录
    except Exception as e:
        print(e)
        E = 1
    else:
        pass
    
    if E == 0:
        
        文件数量 = len(L_FileName)
        TCP会话数量 = 0
        UDP会话数量 = 0
        计数 = 1
        for F in L_FileName:
            FullFileName = PCAP_File_OR_Dir+str(F)
            print(f"  拆分PCAP文件:{FullFileName} 进度:{计数}/{文件数量}")       ## 根据源目的IP和端口分成多个小pcap文件
            f = open(FullFileName, 'rb')        # 以二进制方式读取pcap格式文件
            PCAP_DATA = f.read(24)              # 读取前24字节头信息,忽略
            计数 += 1
            
            N = 0
            while 1:
                
                包头 = f.read(16)
                if not 包头:				    # 判断 包头 是否为空(读完或者本身为空时 S 为空)
                    break
                
                N += 1
                #if N == 14:
                #    break
                #print("N", N)

                PacketHeader = struct.unpack('IIII', 包头)
                时间戳 = PacketHeader[0]
                #微秒 = PacketHeader[1]
                #抓取数据包长度 = PacketHeader[2]       # 所抓获的数据包保存在pcap文件中的实际长度,以字节为单位。
                实际数据包长度 = PacketHeader[3]        # 所抓获的数据包的真实长度,如果文件中保存不是完整的数据包,那么这个值可能要比前面的数据包长度的值大。
                PacketData = f.read(实际数据包长度)
                
                ## ==全部流量统计==
                if 时间戳 in D_TIME_PACKET:                                    ## 全部流量统计
                    D_TIME_PACKET[时间戳]['Packets_Count'] += 1                ## 全部流量统计:全部数据包数量累计加1
                    D_TIME_PACKET[时间戳]['Packets_Bytes'] += 实际数据包长度   ## 全部流量统计:全部数据包大小累计
                else:
                    D_TIME_PACKET[时间戳] = {'Packets_Count': 1, 'Packets_Bytes':实际数据包长度, 'TCP_Count':0, 'TCP_Bytes':0, 'UDP_Count':0, 'UDP_Bytes':0, 'OTHER_Count':0, 'OTHER_Bytes':0, '筛选出的TCP包数量合计':0, '筛选出的TCP包大小合计':0}
                ## ==全部流量统计==
                
                # 以太部首
                FrameType = PacketData[12:14]               # 帧类型
                # IP数据报头
                if FrameType == b'\x08\x00':                # 普通包
                    pass
                elif FrameType == b'\x81\x00':              # VLAN包
                    PacketData = PacketData[0:12] + b'\x08\x00' + PacketData[18:]                                       ## 剔除VLAN数据
                    包头 = struct.pack('IIII', PacketHeader[0], PacketHeader[1], PacketHeader[2]-4, PacketHeader[3]-4)  ## 修改包头
                else:
                    #print("其他包忽略")
                    pass
                
                ## SrcIP_SrcPort 和 DstIP_DstPort 互换位置是同个TCP交互,要存入同个文件对象
                IP_Protocol = PacketData[23:24]
                ## 只要TCP协议
                if IP_Protocol == b'\x06':                  # 协议(TCP 6)(UDP 17)
                
                    D_TIME_PACKET[时间戳]['TCP_Count'] += 1                ## 全部流量统计:TCP数据包数量累计加1
                    D_TIME_PACKET[时间戳]['TCP_Bytes'] += 实际数据包长度   ## 全部流量统计:TCP数据包大小累计
                    
                    SrcIP_Bytes = PacketData[26:30]         # 源IP地址
                    DstIP_Bytes = PacketData[30:34]         # 目的IP地址
                    SrcIP = socket.inet_ntoa(SrcIP_Bytes)
                    DstIP = socket.inet_ntoa(DstIP_Bytes)
                    
                    SrcPort_Bytes = PacketData[34:36]
                    DstPort_Bytes = PacketData[36:38]
                    SrcPort = struct.unpack('>H', SrcPort_Bytes)[0]
                    DstPort = struct.unpack('>H', DstPort_Bytes)[0]
                    
                    ## 每一次TCP发数据生成2个Key
                    TCP_KEY_SD = (SrcIP,SrcPort,DstIP,DstPort)  # 以当前包的源到目的生成一个Key
                    TCP_KEY_DS = (DstIP,DstPort,SrcIP,SrcPort)  # 以当前包的目的到源生成一个Key
                    
                    ## 只有分离出指定的IP的交互内容
                    if 匹配内容 == 'IP':
                        if UserIP in (SrcIP, DstIP):
                            SAVE = 1
                        else:
                            SAVE = 0
                    elif 匹配内容 == 'PORT':
                        if UserPort in (SrcPort, DstPort):
                            SAVE = 1
                        else:
                            SAVE = 0
                    elif 匹配内容 == 'IP+PORT':
                        if SrcIP == UserIP and SrcPort == UserPort:
                            SAVE = 1
                        elif DstIP == UserIP and DstPort == UserPort:
                            SAVE = 1
                        else:
                            SAVE = 0
                    elif 匹配内容 == 'ALL':
                        SAVE = 1            # 全都要
                    else:
                        SAVE = 0            # 这个包不需要
                    
                    ## 匹配到是需要分析的数据包
                    if SAVE == 1:
                        ## 筛选出的TCP流量统计
                        D_TIME_PACKET[时间戳]['筛选出的TCP包数量合计'] += 1                ## 筛选出的TCP流量统计:TCP数据包数量累计加1
                        D_TIME_PACKET[时间戳]['筛选出的TCP包大小合计'] += 实际数据包长度   ## 筛选出的TCP流量统计:TCP数据包大小累计
                    
                        ## TCP会话统计流量
                        if TCP_KEY_SD in D_TCP_PACKET:                                  ## TCP会话统计流量
                            D_TCP_PACKET[TCP_KEY_SD]['Packets'] +=1                     ## TCP会话统计流量:TCP会话数据包数量累计加1
                            D_TCP_PACKET[TCP_KEY_SD]['Bytes_Len'] += 实际数据包长度     ## TCP会话统计流量:TCP会话数据包大小累计
                        else:
                            D_TCP_PACKET[TCP_KEY_SD] = {'Packets':1, 'Bytes_Len':实际数据包长度}
                    
                        ## 对TCP交互数据包进行分析保存
                        if TCP_KEY_SD in D_TCP_ALL:
                            D_SAVE(D_TCP_ALL[TCP_KEY_SD], 包头, PacketData, N)
                        else:
                            Log.debug(f"    TCP {TCP_KEY_SD}")
                            TCP会话数量 += 1
                            ## 两个方向对应同一个文件
                            D_TCP = {}
                            D_TCP['CLIENT'] = ()               ## (HOST, PORT)         # 客户端IP和端口
                            D_TCP['SERVER'] = ()               ## (HOST, PORT)         # 服务端IP和端口
                            D_TCP['C_SYN'] = ()                ## (时间戳, seq, ack),  # 客户端发起连接
                            D_TCP['S_ACK_SYN'] = ()            ## (时间戳, seq, ack),  # 服务端确认连接
                            D_TCP['C_ACK'] = ()                ## (时间戳, seq, ack),  # 客户端确认连接
                            D_TCP['S_ACK_FIN_SeqKey'] = {}     ## 服务端发起的终止信息,以Seq为KEY,因为Seq=对应请求的Ack
                            D_TCP['C_ACK_FIN'] = ()            ## C已经确认S接收完全部数据的信息
                            D_TCP['S_ACK_RST'] = {}            ## 服务端强制断开TCP连接
                            D_TCP['C_ACK_RST_AckKey'] = {}     ## 客户端强制断开TCP连接
                            D_TCP['C_ACK_RST_SeqKey'] = {}     ## 客户端强制断开TCP连接
                            D_TCP['C_CLIENT_SEND_DATA'] = {}   ## 客户端发起数据(用于判断重发的情况)以ACK为Key,是在响应S某部分交互的时候重复发,要以Ack为依据
                            D_TCP['TCP_CS_ERR'] = []           ## TCP校验失败的包编号
                            D_TCP['D_C_ACK'] = {}              # C 发送的ACK信息(纯ACK确认消息,不含数据)
                            D_TCP['D_S_ACK'] = {}              # S 发送的ACK信息(纯ACK确认消息,不含数据)
                            D_TCP['D_C_ACK_DATA'] = {}         # C 发送的ACK及数据(一般都是客户端发起请求,包信息保存到 C_TCP_REQ 字典 Key=Ack Value=[(包信息1),(包信息2)] 一个请求可能会分成多个包发送)
                            D_TCP['D_S_ACK_DATA'] = {}         # S 发送的ACK及数据(一般为服务端响应数据)
                            D_TCP['C_TCP_Keep_Alive'] = {}     # C 发起的请求保持连接包
                            D_TCP['S_TCP_Keep_Alive'] = {}     # S 发起的请求保持连接包
                            D_TCP['C_TCP_Keep_Alive_ACK'] = {} # C 响应请求保持连接包
                            D_TCP['S_TCP_Keep_Alive_ACK'] = {} # S 响应请求保持连接包
                            D_TCP['C_ACK_WIN_0'] = []          ## 记录C发的ACK且窗口为0的包信息(Seq,Ack)说明C缓存满,S会发ACK数据为1的包探测查看状态,S的(Seq,Ack)和C的刚好相反
                            D_TCP['S_ACK_WIN_0'] = []          ## 记录S发的ACK且窗口为0的包信息(Seq,Ack)说明S缓存满
                            D_TCP['D_C_WIN_0'] = {}            # 记录C接收窗口满的信息,用于计算因C窗口满消耗的时间
                            D_TCP['D_S_WIN_0'] = {}            # 记录S接收窗口满的信息,用于计算因S窗口满消耗的时间
                            D_TCP['C_Tx_DATA_ALL'] = 0         ## 在最后的时候更新到主字典里
                            D_TCP['S_Tx_DATA_ALL'] = 0         ## 在最后的时候更新到主字典里
                            D_TCP['P_C_Tx_Seq_Ack'] = set()             # C发的含数据的ACK包的(Seq,Ack)信息集合,遇到重复说明是重发的包,在S处抓包这个就是 L_C_Rx_Info 接收到C发数据,重复说明重收,接不到对方丢的包的
                            D_TCP['P_S_Tx_Seq_Ack'] = set()             # S发的含数据的ACK包的(Seq,Ack)信息集合,遇到重复说明是重发的包,在C处抓包这个就是 L_S_Rx_Info 接收到S发数据,重复说明重收,接不到对方丢的包的
                            D_TCP['L_DATA'] = []
                            D_TCP_ALL[TCP_KEY_SD] = D_TCP    # 方向1
                            D_TCP_ALL[TCP_KEY_DS] = D_TCP    # 方向2
                            D_SAVE(D_TCP_ALL[TCP_KEY_SD], 包头, PacketData, N)
                elif IP_Protocol == b'\x11':                  ## 协议(TCP 6)(UDP 17)
                    D_TIME_PACKET[时间戳]['UDP_Count'] += 1                ## 全部流量统计:UDP数据包数量累计加1
                    D_TIME_PACKET[时间戳]['UDP_Bytes'] += 实际数据包长度   ## 全部流量统计:UDP数据包大小累计
                    
                    SrcIP_Bytes = PacketData[26:30]         # 源IP地址
                    DstIP_Bytes = PacketData[30:34]         # 目的IP地址
                    SrcIP = socket.inet_ntoa(SrcIP_Bytes)
                    DstIP = socket.inet_ntoa(DstIP_Bytes)
                    
                    SrcPort_Bytes = PacketData[34:36]
                    DstPort_Bytes = PacketData[36:38]
                    SrcPort = struct.unpack('>H', SrcPort_Bytes)[0]
                    DstPort = struct.unpack('>H', DstPort_Bytes)[0]
                    
                    ## 每一次UDP发数据生成2个Key
                    UDP_KEY_SD = (SrcIP,SrcPort,DstIP,DstPort)  # 以当前包的源到目的生成一个Key
                    UDP_KEY_DS = (DstIP,DstPort,SrcIP,SrcPort)  # 以当前包的目的到源生成一个Key
                    
                    ## 只有分离出指定的IP的交互内容
                    if 匹配内容 == 'IP':
                        if UserIP in (SrcIP, DstIP):
                            SAVE = 1
                        else:
                            SAVE = 0
                    elif 匹配内容 == 'PORT':
                        if UserPort in (SrcPort, DstPort):
                            SAVE = 1
                        else:
                            SAVE = 0
                    elif 匹配内容 == 'IP+PORT':
                        if SrcIP == UserIP and SrcPort == UserPort:
                            SAVE = 1
                        elif DstIP == UserIP and DstPort == UserPort:
                            SAVE = 1
                        else:
                            SAVE = 0
                    elif 匹配内容 == 'ALL':
                        SAVE = 1            # 全都要
                    else:
                        SAVE = 0            # 这个包不需要
                    
                    ## 匹配到是需要分析的数据包
                    if SAVE == 1:
                        ## 对UDP交互数据包进行分析保存
                        if UDP_KEY_SD in D_UDP_ALL:
                            pass
                        else:
                            Log.debug(f"    UDP {UDP_KEY_SD}")
                            UDP会话数量 += 1
                            ## 两个方向对应同一个文件
                            D_UDP_ALL[UDP_KEY_SD] = ()    # 方向1
                            D_UDP_ALL[UDP_KEY_DS] = ()    # 方向2
                else:
                    D_TIME_PACKET[时间戳]['OTHER_Count'] += 1              ## 全部流量统计:其它数据包数量累计加1
                    D_TIME_PACKET[时间戳]['OTHER_Bytes'] += 实际数据包长度 ## 全部流量统计:其它数据包大小累计
            f.close()
        print(f"  完成 {time.strftime('%Y-%m-%d %H:%M:%S')}")
        print(f"  TCP会话数量: {TCP会话数量}")
        print(f"  UDP会话数量: {UDP会话数量}")
    else:
        print("【ERROR】有错误终止操作")

    return(D_TCP_ALL, D_TIME_PACKET, D_TCP_PACKET, D_UDP_ALL)




## 去除重复内容的Key 返回 L_TCP_SESSION_KEY
def TCP会话Key去重(D_TCP_ALL):
    L_TCP_SESSION_KEY = []
    P = set()
    for k in D_TCP_ALL:
        if k in P:
            pass
        else:
            L_TCP_SESSION_KEY.append(k)
            P.add(k)
            P.add((k[2],k[3],k[0],k[1]))
            #L_DATA = D_TCP_ALL[k]['L_DATA']
    return(L_TCP_SESSION_KEY)

## 去除重复内容的Key 返回 L_UDP_SESSION_KEY
def UDP会话Key去重(D_UDP_ALL):
    L_UDP_SESSION_KEY = []
    P = set()
    for k in D_UDP_ALL:
        if k in P:
            pass
        else:
            L_UDP_SESSION_KEY.append(k)
            P.add(k)
            P.add((k[2],k[3],k[0],k[1]))
    return(L_UDP_SESSION_KEY)


## 按时间戳存储数据包大小的字典转成画图可用的XY轴列表
def D_TIME_PACKET_2_XY(D_TIME_PACKET):
    L_TIME_KEY = [i for i in D_TIME_PACKET]      # 时间戳Key列表
    Y_Packets_Count = []
    Y_Packets_Bytes = []
    Y_TCP_Count = []
    Y_TCP_Bytes = []
    Y_UDP_Count = []
    Y_UDP_Bytes = []
    Y_TCP刷选出部分_Count = []
    Y_TCP刷选出部分_Bytes = []
    for i in L_TIME_KEY:
        if i in D_TIME_PACKET:
            Y_Packets_Count.append(D_TIME_PACKET[i]['Packets_Count'])
            Y_Packets_Bytes.append(D_TIME_PACKET[i]['Packets_Bytes'])
            Y_TCP_Count.append(D_TIME_PACKET[i]['TCP_Count'])
            Y_TCP_Bytes.append(D_TIME_PACKET[i]['TCP_Bytes'])
            Y_UDP_Count.append(D_TIME_PACKET[i]['UDP_Count'])
            Y_UDP_Bytes.append(D_TIME_PACKET[i]['UDP_Bytes'])
            Y_TCP刷选出部分_Count.append(D_TIME_PACKET[i]['筛选出的TCP包数量合计'])
            Y_TCP刷选出部分_Bytes.append(D_TIME_PACKET[i]['筛选出的TCP包大小合计'])
        else:
            Y_Packets_Count.append(0)
            Y_Packets_Bytes.append(0)
            Y_TCP_Count.append(0)
            Y_TCP_Bytes.append(0)
            Y_UDP_Count.append(0)
            Y_UDP_Bytes.append(0)
            Y_TCP刷选出部分_Count.append(0)
            Y_TCP刷选出部分_Bytes.append(0)
    return(L_TIME_KEY, Y_Packets_Count, Y_Packets_Bytes, Y_TCP_Count, Y_TCP_Bytes, Y_UDP_Count, Y_UDP_Bytes, Y_TCP刷选出部分_Count, Y_TCP刷选出部分_Bytes)


## 流量画图
def 画流量图(D_TIME_PACKET):
    X, Y_Packets_Count, Y_Packets_Bytes, Y_TCP_Count, Y_TCP_Bytes, Y_UDP_Count, Y_UDP_Bytes, Y_TCP刷选出部分_Count, Y_TCP刷选出部分_Bytes = D_TIME_PACKET_2_XY(D_TIME_PACKET)
    X_TEXT = [time.strftime('%H:%M:%S', time.localtime(i)) for i in X]  # 文本时间
    #print("X", X)
    #print("X_TEXT", X_TEXT)
    ## 分成多个图显示(通用、可控)
    X轴刻度数量 = 10               # X轴只显示10个刻度
    X轴间隔 = len(X)//X轴刻度数量
    if X轴间隔 == 0:               # 按秒合并的时间刻度,可能会少于10个
        X轴间隔 = 1                # 显示每一个刻度
    Log.debug(f"原X轴刻度数={len(X)} 设置X轴间隔={X轴间隔}")
    图数量 = 3
    import matplotlib.pyplot as plt
    import matplotlib.ticker as ticker                                                  # 解决时间为X轴可能会造成刻度太密集,看不清问题

    fig, ax = plt.subplots(图数量, 1, sharex=True, sharey=False, figsize=(20,10))       # n行1列,统一X轴刻度
    AX_List = ax.ravel()                                                                # 子图列表:AX_List[0]第一个子图,AX_List[1]第二个子图...
    
    ## 子图1每秒总流量,用左边y轴
    AX_List[0].plot(X_TEXT, Y_Packets_Count, '-', label='ALL Packets Count', markersize=2)  # 第1个图的第1根线
    AX_List[0].legend(loc=2)                                                            # 显示图例label(位置左上)
    #AX_List[0].xaxis.set_major_locator(ticker.MultipleLocator(X轴间隔))                # X轴间隔N标一个刻度
    AX_List[0].set_ylabel('Packets')
    
    ## 子图1每秒包数量,用右边y轴
    AX_0_Y2 = AX_List[0].twinx()
    AX_0_Y2.plot(X_TEXT, Y_Packets_Bytes, ':r', label='ALL Packets Bytes', markersize=1)    # 第1个图的第2根线
    AX_0_Y2.legend(loc=1)                                                               # 显示图例label(位置右上)
    #AX_0_Y2.xaxis.set_major_locator(ticker.MultipleLocator(X轴间隔))
    AX_0_Y2.set_ylabel('Bytes')
    AX_0_Y2.get_yaxis().get_major_formatter().set_scientific(False)                     # y轴值不使用科学记数法
    
    ## 子图2 总TCP和UDP的包数量和流量情况
    AX_List[1].plot(X_TEXT, Y_TCP_Count, ':', label='All TCP Count', markersize=2)
    AX_List[1].plot(X_TEXT, Y_UDP_Count, '-', label='All UDP Count', markersize=1)
    AX_List[1].legend(loc=2)
    #AX_List[1].xaxis.set_major_locator(ticker.MultipleLocator(X轴间隔))
    AX_List[1].set_ylabel('Packets')
    
    AX_1_Y2 = AX_List[1].twinx()
    AX_1_Y2.plot(X_TEXT, Y_TCP_Bytes, ':', label='ALL TCP Bytes', markersize=2)
    AX_1_Y2.plot(X_TEXT, Y_UDP_Bytes, '-', label='ALL UDP Bytes', markersize=1)
    AX_1_Y2.legend(loc=1)
    AX_1_Y2.set_ylabel('Bytes')
    AX_1_Y2.xaxis.set_major_locator(ticker.MultipleLocator(X轴间隔))
    AX_1_Y2.get_yaxis().get_major_formatter().set_scientific(False)
    
    ## 子图3 筛选出的TCP会话的流量图
    ## 子图3每秒总流量,用左边y轴
    AX_List[2].plot(X_TEXT, Y_TCP刷选出部分_Count, '-', label='SELECT TCP Packets Count', markersize=2)
    AX_List[2].legend(loc=2)
    AX_List[2].xaxis.set_major_locator(ticker.MultipleLocator(X轴间隔))
    AX_List[2].set_ylabel('Packets')
    
    ## 子图3每秒包数量,用右边y轴
    AX_2_Y2 = AX_List[2].twinx()
    AX_2_Y2.plot(X_TEXT, Y_TCP刷选出部分_Bytes, ':r', label='SELECT TCP Packets Bytes', markersize=1)
    AX_2_Y2.legend(loc=1)
    AX_2_Y2.xaxis.set_major_locator(ticker.MultipleLocator(X轴间隔))
    AX_2_Y2.set_ylabel('Bytes')
    AX_2_Y2.get_yaxis().get_major_formatter().set_scientific(False)
    
    plt.xlabel('Time')
    plt.show()




def 合并会话(D_TCP_PACKET):
    D_TCP_SESSION = {}
    for Key in D_TCP_PACKET:
        if Key in D_TCP_SESSION:
            print("重复")
        else:
            SrcIP, SrcPort, DstIP, DstPort = Key
            Key_New = (DstIP, DstPort, SrcIP, SrcPort)
            if Key_New in D_TCP_SESSION:
                #print("合并")
                D_TCP_SESSION[Key_New]['Packets'] += D_TCP_PACKET[Key]['Packets']      # 发包数量累加
                D_TCP_SESSION[Key_New]['Bytes_Len'] += D_TCP_PACKET[Key]['Bytes_Len']  # 内容长度累加
            else:
                D_TCP_SESSION[Key] = D_TCP_PACKET[Key]                                 # 复制
    
    return(D_TCP_SESSION)



## 从PCAP文件中提取出指定会话的内容另存为PCAP文件
## 参数 PCAP_File_OR_Dir  PCAP文件名或PCAP文件目录(多个PCAP文件需要按时间顺序存放)
## 参数 SaveDir           提取出的PCAP文件存放的目录
## 参数 D_SESSION_INFO    需要提取的会话信息(IP和端口正反方向都要写入) {'TCP':[(源IP,源端口,目的IP,目的端口),(目的IP,目的端口,源IP,源端口),], 'UDP':[(源IP,源端口,目的IP,目的端口),(目的IP,目的端口,源IP,源端口),]}
def 提取PCAP中指定会话数据另存为独立PCAP(PCAP_File_OR_Dir, SaveDir, D_SESSION_INFO):
    print(f"【I】源PCAP文件或目录 {PCAP_File_OR_Dir}")
    print(f"【I】保存目录 {SaveDir}")
    E = 0
    if os.path.isfile(PCAP_File_OR_Dir):
        PATH,FileName = os.path.split(PCAP_File_OR_Dir) # 拆分路径和文件名
        #print(PATH,FileName)
        PCAP_File_OR_Dir = PATH                         # 这个后面但目录用
        L_FileName = ['\\'+FileName]                    # 文件名
    elif os.path.isdir(PCAP_File_OR_Dir):
        L_FileName = os.listdir(PCAP_File_OR_Dir)       # 目录内内容列表
    else:
        print(f"【E】{PCAP_File_OR_Dir} 不存在")
        E = 1
    
    try:
        if not os.path.isdir(SaveDir):
            os.makedirs(SaveDir)
        os.chdir(SaveDir)               ## 切换到存放拆分后文件的目录
    except Exception as e:
        print(e)
        E = 1
    else:
        pass
    
    if E == 0:
        
        ## 本地文件名保存到字典中
        D_Local_File_Name = {}
        
        文件数量 = len(L_FileName)
        新建PCAP文件数量 = 0
        计数 = 1
        for F in L_FileName:
            FullFileName = PCAP_File_OR_Dir+str(F)
            print(f"【I】拆分PCAP文件:{FullFileName} 进度:{计数}/{文件数量}")       ## 根据源目的IP和端口分成多个小pcap文件
            f = open(FullFileName, 'rb')        # 以二进制方式读取pcap格式文件
            PCAP_DATA = f.read(24)          # 读取前24字节头信息,忽略
            计数 += 1
            
            while 1:
                包头 = f.read(16)
                if not 包头:				    # 判断 包头 是否为空(读完或者本身为空时 S 为空)
                    break
                
                PacketHeader = struct.unpack('IIII', 包头)
                PacketData = f.read(PacketHeader[3])
                
                # 以太部首
                FrameType = PacketData[12:14]               # 帧类型
                # IP数据报头
                if FrameType == b'\x08\x00':                # 普通包
                    pass
                elif FrameType == b'\x81\x00':              # VLAN包
                    PacketData = PacketData[0:12] + b'\x08\x00' + PacketData[18:]                                       ## 剔除VLAN数据
                    包头 = struct.pack('IIII', PacketHeader[0], PacketHeader[1], PacketHeader[2]-4, PacketHeader[3]-4)  ## 修改包头
                else:
                    #print("其他包忽略")
                    pass
                
                ## SrcIP_SrcPort 和 DstIP_DstPort 互换位置是同个TCP交互,要存入同个文件对象
                IP_Protocol = PacketData[23:24]
                ## 只要TCP协议
                if IP_Protocol == b'\x06':                  # 协议(TCP 6)(UDP 17)
                    SrcIP_Bytes = PacketData[26:30]         # 源IP地址
                    DstIP_Bytes = PacketData[30:34]         # 目的IP地址
                    SrcIP = socket.inet_ntoa(SrcIP_Bytes)
                    DstIP = socket.inet_ntoa(DstIP_Bytes)
                    
                    SrcPort_Bytes = PacketData[34:36]
                    DstPort_Bytes = PacketData[36:38]
                    SrcPort = struct.unpack('>H', SrcPort_Bytes)[0]
                    DstPort = struct.unpack('>H', DstPort_Bytes)[0]
                    
                    ## 每一次连接生成2个文件名
                    SRC = SrcIP+'_'+ str(SrcPort)
                    DST = DstIP+'_'+ str(DstPort)
                    TCP_F_NAME_SD = 'TCP_'+SRC+'-'+DST+'.pcap'     # 以当前包的源到目的生成一个文件
                    TCP_F_NAME_DS = 'TCP_'+DST+'-'+SRC+'.pcap'     # 以当前包的目的到源生成一个文件
                    #print("TCP_F_NAME_SD", TCP_F_NAME_SD)
                    #print("TCP_F_NAME_DS", TCP_F_NAME_DS)
                    
                    ## 另存为小文件
                    if (SrcIP, SrcPort, DstIP, DstPort) in D_SESSION_INFO['TCP']:
                        if TCP_F_NAME_SD in D_Local_File_Name:
                            #print("  归属", TCP_F_NAME_SD)
                            fp = open(D_Local_File_Name[TCP_F_NAME_SD], 'ba')
                            fp.write(包头)
                            fp.write(PacketData)
                            fp.close()
                        else:
                            print("【I】    新建", TCP_F_NAME_SD)
                            fp = open(TCP_F_NAME_SD, 'ba')              # 新建一个文件对象,名字用客户端到服务端方向
                            fp.write(PCAP_DATA)
                            fp.write(包头)
                            fp.write(PacketData)
                            fp.close()
                            新建PCAP文件数量 += 1
                            ## 两个方向对应同一个文件
                            D_Local_File_Name[TCP_F_NAME_SD] = TCP_F_NAME_SD    # 方向1
                            D_Local_File_Name[TCP_F_NAME_DS] = TCP_F_NAME_SD    # 方向2
                elif IP_Protocol == b'\x11':                # 协议(TCP 6)(UDP 17)
                    SrcIP_Bytes = PacketData[26:30]         # 源IP地址
                    DstIP_Bytes = PacketData[30:34]         # 目的IP地址
                    SrcIP = socket.inet_ntoa(SrcIP_Bytes)
                    DstIP = socket.inet_ntoa(DstIP_Bytes)
                    
                    SrcPort_Bytes = PacketData[34:36]
                    DstPort_Bytes = PacketData[36:38]
                    SrcPort = struct.unpack('>H', SrcPort_Bytes)[0]
                    DstPort = struct.unpack('>H', DstPort_Bytes)[0]
                    
                    ## 每一次连接生成2个文件名
                    SRC = SrcIP+'_'+ str(SrcPort)
                    DST = DstIP+'_'+ str(DstPort)
                    UDP_F_NAME_SD = 'UDP_'+SRC+'-'+DST+'.pcap'     # 以当前包的源到目的生成一个文件
                    UDP_F_NAME_DS = 'UDP_'+DST+'-'+SRC+'.pcap'     # 以当前包的目的到源生成一个文件
                    
                    ## 另存为小文件
                    if (SrcIP, SrcPort, DstIP, DstPort) in D_SESSION_INFO['UDP']:
                        if UDP_F_NAME_SD in D_Local_File_Name:
                            #print("  归属", UDP_F_NAME_SD)
                            fp = open(D_Local_File_Name[UDP_F_NAME_SD], 'ba')
                            fp.write(包头)
                            fp.write(PacketData)
                            fp.close()
                        else:
                            print("【I】    新建", UDP_F_NAME_SD)
                            fp = open(UDP_F_NAME_SD, 'ba')              # 新建一个文件对象,名字用客户端到服务端方向
                            fp.write(PCAP_DATA)
                            fp.write(包头)
                            fp.write(PacketData)
                            fp.close()
                            新建PCAP文件数量 += 1
                            ## 两个方向对应同一个文件
                            D_Local_File_Name[UDP_F_NAME_SD] = UDP_F_NAME_SD    # 方向1
                            D_Local_File_Name[UDP_F_NAME_DS] = UDP_F_NAME_SD    # 方向2
                else:
                    #print("IP_Protocol", IP_Protocol)
                    pass
            f.close()
        print(f"【I】完成 {time.strftime('%Y-%m-%d %H:%M:%S')}")
        print(f"【I】新建PCAP文件数量: {新建PCAP文件数量}")
    else:
        print("【E】有错误,终止 提取PCAP中指定会话数据() 操作")





## 交互操作提示内容
选择日志等级_TEXT = '''
##############################################
## 0 DEBUG     日志记录详细信息             ##
## 1 INFO      日志记录主要信息并在终端显示 ##
## 2 WARNING                                ##
## 3 ERROR                                  ##
## 4 CRITICAL                               ##
## q 退出                                   ##
##############################################
【0】选择日志等级(写入日志文件): '''

选择过滤规则_TEXT = '''
##############################################
## 0 IP                                     ##
## 1 PORT                                   ##
## 2 IP+PORT                                ##
## 3 ALL(全部提取分析)                      ##
## q 返回上级                               ##
##############################################
【1】选择过滤规则: '''

选择TCP或UDP_TEXT = '''
##############################################
## 0 查看TCP                                ##
## 1 查看UDP                                ##
## 2 每个TCP会话导出为单独PCAP文件          ##
## 3 每个UDP会话导出为单独PCAP文件          ##
## q 返回上级                               ##
##############################################
【2】选择TCP或UDP: '''

TCP选择功能_TEXT = '''
##############################################
## 0 TCP会话交互过程用时分析(无图)          ##
## 1 TCP会话交互过程用时分析(画图)          ##
## 2 选中TCP会话导出为PCAP文件              ##
## 3 全部TCP会话导出为PCAP文件              ##
## q 返回上级                               ##
##############################################
【4】选择功能: '''


UDP选择功能_TEXT = '''
##############################################
## 0 选中UDP会话导出为PCAP文件              ##
## q 返回上级                               ##
##############################################
【4】选择功能: '''


def 选择TCP会话编号(L_TCP_SESSION_KEY, 筛选=''):
    N = 0
    print("-------------------------------------------------------------")
    print("| 编号   TCP交互信息")
    if 筛选 == '':
        for i in L_TCP_SESSION_KEY:
            print(f"| {N} \t {i}")
            N += 1
        print(f"| TCP会话总数 {N}")
        print("-------------------------------------------------------------")
        print("##############################################")
        print("## x 画流量图                               ##")
        print("## s 筛选结果                               ##")
        print("## q 返回上级                               ##")
        print("## 输入会话编号分析会话用时信息(例 0,1,3-5) ##")
    else:
        匹配规则 = f"(.*){筛选}(.*)"
        n = 0
        for i in L_TCP_SESSION_KEY:
            X = re.search(匹配规则, str(i))
            if X:
                print(f"- {N} \t {i}")
                n += 1
            N += 1
        print(f"| 匹配字符串={筛选}")
        print(f"| 筛选出TCP会话数 {n}")
        print("-------------------------------------------------------------")
        print("##############################################")
        print("## x 画流量图                               ##")
        print("## s 筛选结果                               ##")
        print("## q 返回上级                               ##")
        print("## 输入会话编号分析会话用时信息(例 0,1,3-5) ##")
    print("##############################################")

def 选择UDP会话编号(L_UDP_SESSION_KEY, 筛选=''):
    N = 0
    print("-------------------------------------------------------------")
    print("| 编号   UDP交互信息")
    if 筛选 == '':
        for i in L_UDP_SESSION_KEY:
            print(f"| {N} \t {i}")
            N += 1
        print(f"| UDP会话总数 {N}")
        print("-------------------------------------------------------------")
        print("##############################################")
        #print("## x 画流量图                               ##")
        print("## s 筛选结果                               ##")
        print("## q 返回上级                               ##")
        print("## 输入会话编号分析会话用时信息(例 0,1,3-5) ##")
    else:
        匹配规则 = f"(.*){筛选}(.*)"
        n = 0
        for i in L_UDP_SESSION_KEY:
            X = re.search(匹配规则, str(i))
            if X:
                print(f"| {N} \t {i}")
                n += 1
            N += 1
        print(f"| 匹配字符串={筛选}")
        print(f"| 筛选出UDP会话数 {n}")
        print("-------------------------------------------------------------")
        print("##############################################")
        #print("## x 画流量图                               ##")
        print("## s 筛选结果                               ##")
        print("## q 返回上级                               ##")
        print("## 输入会话编号分析会话用时信息(例 0,1,3-5) ##")
    print("##############################################")


def 解析用户输入的编号(TEXT):
    TEXT = TEXT.replace(' ', '')
    L = []
    LSPa = TEXT.split(',')
    #print("LSPa", LSPa)
    for i in LSPa:
        if i != '':
            LSPb = i.split('-')
            if len(LSPb) == 2:
                A = int(LSPb[0])
                B = int(LSPb[1])
                if A <= B:
                    for j in range(A, B+1):
                        L.append(j)
            elif len(LSPb) == 1:
                #print("LSPb", LSPb)
                A = int(LSPb[0])
                L.append(A)
            else:
                pass
    return(L)

## 返回传入元组对象的第二个值,排序要用
def T2(X):
    return(X[1])



def 过滤出的包数据画流量图(D_TCP_PACKET, D_TIME_PACKET):
    ## 单向TCP会话统计 D_TCP_PACKET
    Log.info("单向分别统计")
    L_TCP_PACKET = [(Key,D_TCP_PACKET[Key]['Bytes_Len']) for Key in D_TCP_PACKET]
    L_TCP_PACKET.sort(key=T2)
    #for Key in D_TCP_PACKET:
    #    Log.info(f"  {Key} {D_TCP_PACKET[Key]}")
    for i in L_TCP_PACKET:
        Log.info(f"  {i[0]} {D_TCP_PACKET[i[0]]}")
    
    ## 双向TCP会话统计 D_TCP_SESSION
    D_TCP_SESSION = 合并会话(D_TCP_PACKET)
    Log.info("双向合并统计")
    #for Key in D_TCP_SESSION:
    #    Log.info(f"  {Key} {D_TCP_SESSION[Key]}")
    L_TCP_SESSION = [(Key,D_TCP_SESSION[Key]['Bytes_Len']) for Key in D_TCP_SESSION]
    L_TCP_SESSION.sort(key=T2)
    for i in L_TCP_SESSION:
        Log.info(f"  {i[0]} {D_TCP_SESSION[i[0]]}")
    
    画流量图(D_TIME_PACKET)



def TCP会话交互过程用时分析(L_会话编号, L_TCP_SESSION_KEY, D_TCP_ALL, 图, 选择日志等级):
    ## TCP交互中用时分析并画图
    Log.info("-----------------------------------------------------------------------------------------------------------------------------------------------------------------")
    TCP_START_TIME = []
    TCP_END_TIME = []
    D_S_KeepAlive = {}              # S发起KeepAlive信息字典,Key=交互信息,Value=[(KeepAlive每次开始, 结束时间), ]
    D_C_KeepAlive = {}              # {'Key标识数据归属':[('10:18:29', '10:20:24'), [('10:19:50', '10:24:40')]],}
    D_C_WAIT = {}
    D_C_WIN_0_TIME = {}
    D_S_WIN_0_TIME = {}
    
    头行 = ('客户端', '端口', '服务端', '端口', '开始时间', '结束时间', '会话总用时', 'C_Keep时间', 'S_Keep时间', 'C间隔发包合时', 'C缓冲窗满合时', 'S缓冲窗满合时', '程序其它用时合计')
    Log.info("%s          %s       %s          %s     %s %s %s %s %s %s %s %s %s" % 头行)
    for 会话编号 in L_会话编号:
        选择会话KEY = L_TCP_SESSION_KEY[会话编号]
        L_DATA = D_TCP_ALL[选择会话KEY]['L_DATA']
        C_发起开始时间 = L_DATA[0][1]             # TCP会话第一个包的时间戳
        C_发起结束时间 = L_DATA[-1][1]            # TCP会话最后一个包的时间戳
        TCP_START_TIME.append(C_发起开始时间)
        TCP_END_TIME.append(C_发起结束时间)
        L_TIME_Client_WAIT = 客户端发起请求间隔耗时(D_TCP_ALL[选择会话KEY])                    # 客户端发起新请求和上次完成交互之间的间隔时间(下次交互开始-上次交互完成)
        L_C_KeepAlive_RANGE, L_S_KeepAlive_RANGE = 分析KeepAlive耗时(D_TCP_ALL[选择会话KEY])   # 因保持连接造成的等待耗时
        L_C_WIN_0_RANGE, L_S_WIN_0_RANGE = 分析接收窗口满耗时(D_TCP_ALL[选择会话KEY])          # 因接收窗口满造成的时间消耗
        #print("L_C_WIN_0_RANGE", L_C_WIN_0_RANGE)
        #print("L_S_WIN_0_RANGE", L_S_WIN_0_RANGE)
        
        源地址, 源端口 = D_TCP_ALL[选择会话KEY]['CLIENT']
        目的地址, 目的端口 = D_TCP_ALL[选择会话KEY]['SERVER']
    
        D_C_KeepAlive[f"{源地址}:{源端口}<=>{目的地址}:{目的端口}"] = L_C_KeepAlive_RANGE
        D_S_KeepAlive[f"{源地址}:{源端口}<=>{目的地址}:{目的端口}"] = L_S_KeepAlive_RANGE
        D_C_WAIT[f"{源地址}:{源端口}<=>{目的地址}:{目的端口}"] = L_TIME_Client_WAIT
        D_C_WIN_0_TIME[f"{源地址}:{源端口}<=>{目的地址}:{目的端口}"] = L_C_WIN_0_RANGE
        D_S_WIN_0_TIME[f"{源地址}:{源端口}<=>{目的地址}:{目的端口}"] = L_S_WIN_0_RANGE
        
        T_DATA = SHOW_TIME_WAIT(C_发起开始时间, C_发起结束时间, L_TIME_Client_WAIT, L_C_KeepAlive_RANGE, L_S_KeepAlive_RANGE, L_C_WIN_0_RANGE, L_S_WIN_0_RANGE, D_TCP_ALL[选择会话KEY])
        ## 每次交互的详细信息
        L_TCP_TIME = TCP_SESSION_TIME(D_TCP_ALL[选择会话KEY])     # 分析TCP每次交互用时信息
        SHOW_TCP_ALTERNATELY_TIME(L_TCP_TIME, 视角)               # 记录每次客户端发请求到收完响应数据的统计信息
        TCP交互用时合计 = sum([i[4] for i in L_TCP_TIME])
        客户端发请求用时合计 = sum([i[5] for i in L_TCP_TIME])
        服务端处理用时合计 = sum([i[6] for i in L_TCP_TIME])
        服务端发包用时合计 = sum([i[7] for i in L_TCP_TIME])
        Log.info(f"  程序其它用时合计包含: TCP交互用时合计={round(TCP交互用时合计,3)}(秒) (客户端发请求用时合计={round(客户端发请求用时合计,3)}, 服务端处理用时合计={round(服务端处理用时合计,3)}, 服务端发包用时合计={round(服务端发包用时合计,3)})")
        
        ## == debug == 标记用时分析的起止点
        if 选择日志等级 == '0':
            L_C_KeepAlive_RANGE_start = [i[0] for i in L_C_KeepAlive_RANGE]
            L_C_KeepAlive_RANGE_end = [i[1] for i in L_C_KeepAlive_RANGE]
            L_S_KeepAlive_RANGE_start = [i[0] for i in L_S_KeepAlive_RANGE]
            L_S_KeepAlive_RANGE_end = [i[1] for i in L_S_KeepAlive_RANGE]
            L_TIME_Client_WAIT_start = [i[0] for i in L_TIME_Client_WAIT]
            L_TIME_Client_WAIT_end = [i[1] for i in L_TIME_Client_WAIT]
            L_C_WIN_0_RANGE_start = [i[0] for i in L_C_WIN_0_RANGE]
            L_C_WIN_0_RANGE_end = [i[1] for i in L_C_WIN_0_RANGE]
            L_S_WIN_0_RANGE_start = [i[0] for i in L_S_WIN_0_RANGE]
            L_S_WIN_0_RANGE_end = [i[1] for i in L_S_WIN_0_RANGE]
            Log.debug('%3s %-17s %-15s %-15s %5s %5s %10s %10s %-7s %4s %-5s %5s %s %s' % ('ID','TIME','SrcIP','DstIP','SPort','DPort','Seq','Ack','FLAGE','LEN','请求/响应','WIN','校验码','备注说明'))
            for i in L_DATA:
                if i[1] in L_C_KeepAlive_RANGE_start:
                    X = i + ('[T]L_C_KeepAlive_RANGE_start',)
                    Log.debug('%3s %-17s %-15s %-15s %5s %5s %10s %10s %-7s %4s %-9s %5s %6s %s %s' % X)
                elif i[1] in L_C_KeepAlive_RANGE_end:
                    X = i + ('[T]L_C_KeepAlive_RANGE_end',)
                    Log.debug('%3s %-17s %-15s %-15s %5s %5s %10s %10s %-7s %4s %-9s %5s %6s %s %s' % X)
                elif i[1] in L_S_KeepAlive_RANGE_start:
                    X = i + ('[T]L_S_KeepAlive_RANGE_start',)
                    Log.debug('%3s %-17s %-15s %-15s %5s %5s %10s %10s %-7s %4s %-9s %5s %6s %s %s' % X)
                elif i[1] in L_S_KeepAlive_RANGE_end:
                    X = i + ('[T]L_S_KeepAlive_RANGE_end',)
                    Log.debug('%3s %-17s %-15s %-15s %5s %5s %10s %10s %-7s %4s %-9s %5s %6s %s %s' % X)
                elif i[1] in L_TIME_Client_WAIT_start:
                    X = i + ('[T]L_TIME_Client_WAIT_start',)
                    Log.debug('%3s %-17s %-15s %-15s %5s %5s %10s %10s %-7s %4s %-9s %5s %6s %s %s' % X)
                elif i[1] in L_TIME_Client_WAIT_end:
                    X = i + ('[T]L_TIME_Client_WAIT_end',)
                    Log.debug('%3s %-17s %-15s %-15s %5s %5s %10s %10s %-7s %4s %-9s %5s %6s %s %s' % X)
                elif i[1] in L_C_WIN_0_RANGE_start:
                    X = i + ('[T]L_C_WIN_0_RANGE_start',)
                    Log.debug('%3s %-17s %-15s %-15s %5s %5s %10s %10s %-7s %4s %-9s %5s %6s %s %s' % X)
                elif i[1] in L_C_WIN_0_RANGE_end:
                    X = i + ('[T]L_C_WIN_0_RANGE_end',)
                    Log.debug('%3s %-17s %-15s %-15s %5s %5s %10s %10s %-7s %4s %-9s %5s %6s %s %s' % X)
                elif i[1] in L_S_WIN_0_RANGE_start:
                    X = i + ('[T]L_S_WIN_0_RANGE_start',)
                    Log.debug('%3s %-17s %-15s %-15s %5s %5s %10s %10s %-7s %4s %-9s %5s %6s %s %s' % X)
                elif i[1] in L_S_WIN_0_RANGE_end:
                    X = i + ('[T]L_S_WIN_0_RANGE_end',)
                    Log.debug('%3s %-17s %-15s %-15s %5s %5s %10s %10s %-7s %4s %-9s %5s %6s %s %s' % X)
                else:
                    Log.debug('%3s %-17s %-15s %-15s %5s %5s %10s %10s %-7s %4s %-9s %5s %6s %s' % i)
            Log.debug('')
        ## == debug ==
        
    print(f"\n结果已写入日志文件:{LOG_FILE}\n\n")
    ## 画图:TCP会话交互中各种用时信息画成图
    ## 计算最小开始时间和最大结束时间,统一X时间轴用
    if 图 == 1:
        TCP_START_TIME_MIN = min(TCP_START_TIME)
        TCP_END_TIME_MAX = max(TCP_END_TIME)
        TCP会话用时信息画图(TCP_START_TIME_MIN, TCP_END_TIME_MAX, D_C_KeepAlive, D_C_WAIT, D_S_KeepAlive, D_C_WIN_0_TIME, D_S_WIN_0_TIME)



## 交互运行
def RUN(LOG_DIR):
    while 1:
        选择日志等级 = input(选择日志等级_TEXT)
        if 选择日志等级 == '0':
            Log.setLevel(logging.DEBUG)
        elif 选择日志等级 == '1':
            Log.setLevel(logging.INFO)
        elif 选择日志等级 == '2':
            Log.setLevel(logging.WARNING)
        elif 选择日志等级 == '3':
            Log.setLevel(logging.ERROR)
        elif 选择日志等级 == '4':
            Log.setLevel(logging.CRITICAL)
        elif 选择日志等级 == 'q':
            break
        else:
            print("【W】请重新选择")
            continue
        
        while 1:
            UserIP = ''
            UserPort = 0
            选择过滤规则 = input(选择过滤规则_TEXT)
            if 选择过滤规则 == '0':
                匹配内容 = 'IP'
                UserIP = input("  匹配IP: ")
            elif 选择过滤规则 == '1':
                匹配内容 = 'PORT'
                UserPort = input("  匹配PORT: ")
                UserPort = int(UserPort)
            elif 选择过滤规则 == '2':
                匹配内容 = 'IP+PORT'
                UserIP = input("  匹配IP: ")
                UserPort = input("  匹配PORT: ")
                UserPort = int(UserPort)
            elif 选择过滤规则 == '3':
                匹配内容 = 'ALL'
            elif 选择过滤规则 == 'q':
                break
            else:
                print("【W】请重新选择")
                continue
            print("  选择过滤规则:", 选择过滤规则, 匹配内容)
            ## 每个会话解析为TCP会话信息字典
            D_TCP_ALL, D_TIME_PACKET, D_TCP_PACKET, D_UDP_ALL = 提取PCAP中指定TCP会话数据(PCAP_File_OR_Dir, SaveDir, 匹配内容, UserIP, UserPort)
            L_TCP_SESSION_KEY = TCP会话Key去重(D_TCP_ALL)
            L_UDP_SESSION_KEY = UDP会话Key去重(D_UDP_ALL)
    
            ## 循环多次查看分析结果
            while 1:
                匹配字符串 = ''      # 初始化筛选匹配字符串
                选择TCP或UDP = input(选择TCP或UDP_TEXT)
                if 选择TCP或UDP == 'q':
                    print("返回上级")
                    break
                elif 选择TCP或UDP == '0':
                    while 1:
                        ## 选择会话编号或操作指令
                        if '匹配字符串' not in locals():     # 判断变量是否存在
                            匹配字符串 = ''
                        选择TCP会话编号(L_TCP_SESSION_KEY, 匹配字符串)
                        选择会话编号或操作指令 = input("【3】选择要分析的会话编号: ")
                        if 选择会话编号或操作指令 == 'q':
                            print("返回上级")
                            break
                        elif 选择会话编号或操作指令 == 's':
                            匹配字符串 = input("匹配字符串: ")
                        elif 选择会话编号或操作指令 == 'x':
                            过滤出的包数据画流量图(D_TCP_PACKET, D_TIME_PACKET)
                        else:
                            ## 检查用户输入
                            L_会话编号 = 解析用户输入的编号(选择会话编号或操作指令)
                            可用编号范围 = [i for i in range(0, len(L_TCP_SESSION_KEY))]
                            L_可用会话编号 = []
                            print("-------------------------------------------------------------")
                            print("| 已选编号")
                            for n in L_会话编号:
                                if n in 可用编号范围:
                                    print(f"| {n}\t{L_TCP_SESSION_KEY[n]}")
                                    L_可用会话编号.append(n)
                                else:
                                    print(f"| {n}\t编号不存在,忽略")
                            print("-------------------------------------------------------------")
                            while 1:
                                TCP选择功能 = input(TCP选择功能_TEXT)
                                if TCP选择功能 == 'q':
                                    print("返回上级")
                                    break
                                elif TCP选择功能 == '0':
                                    图 = 0
                                    TCP会话交互过程用时分析(L_可用会话编号, L_TCP_SESSION_KEY, D_TCP_ALL, 图, 选择日志等级)
                                elif TCP选择功能 == '1':
                                    图 = 1
                                    TCP会话交互过程用时分析(L_可用会话编号, L_TCP_SESSION_KEY, D_TCP_ALL, 图, 选择日志等级)
                                elif TCP选择功能 == '2':
                                    D_SESSION_INFO = {'TCP':[], 'UDP':[]}
                                    for i in L_可用会话编号:
                                        SIP,SPORT,DIP,DPORT = L_TCP_SESSION_KEY[i]
                                        D_SESSION_INFO['TCP'].append(L_TCP_SESSION_KEY[i])
                                        D_SESSION_INFO['TCP'].append((DIP,DPORT,SIP,SPORT))
                                    提取PCAP中指定会话数据另存为独立PCAP(PCAP_File_OR_Dir, SaveDir, D_SESSION_INFO)
                                else:
                                    print("【W】请重新选择")
                                    continue
                elif 选择TCP或UDP == '1':
                    while 1:
                        ## 选择会话编号或操作指令
                        if '匹配字符串' not in locals():     # 判断变量是否存在
                            匹配字符串 = ''
                        选择UDP会话编号(L_UDP_SESSION_KEY, 匹配字符串)
                        选择会话编号或操作指令 = input("【3】选择要分析的会话编号: ")
                        if 选择会话编号或操作指令 == 'q':
                            print("返回上级")
                            break
                        elif 选择会话编号或操作指令 == 's':
                            匹配字符串 = input("匹配字符串: ")
                        else:
                            ## 检查用户输入
                            L_会话编号 = 解析用户输入的编号(选择会话编号或操作指令)
                            可用编号范围 = [i for i in range(0, len(L_UDP_SESSION_KEY))]
                            L_可用会话编号 = []
                            print("-------------------------------------------------------------")
                            print("| 已选编号")
                            for n in L_会话编号:
                                if n in 可用编号范围:
                                    print(f"| {n}\t{L_UDP_SESSION_KEY[n]}")
                                    L_可用会话编号.append(n)
                                else:
                                    print(f"| {n}\t编号不存在,忽略")
                            print("-------------------------------------------------------------")
                            while 1:
                                UDP选择功能 = input(UDP选择功能_TEXT)
                                if UDP选择功能 == 'q':
                                    print("返回上级")
                                    break
                                elif UDP选择功能 == '0':
                                    D_SESSION_INFO = {'TCP':[], 'UDP':[]}
                                    for i in L_可用会话编号:
                                        SIP,SPORT,DIP,DPORT = L_UDP_SESSION_KEY[i]
                                        D_SESSION_INFO['UDP'].append(L_UDP_SESSION_KEY[i])
                                        D_SESSION_INFO['UDP'].append((DIP,DPORT,SIP,SPORT))
                                    提取PCAP中指定会话数据另存为独立PCAP(PCAP_File_OR_Dir, SaveDir, D_SESSION_INFO)
                                else:
                                    print("【W】请重新选择")
                                    continue
                elif 选择TCP或UDP == '2':
                    print("【W】数量多时比较耗时且执行不稳定")
                    D_SESSION_INFO = {'TCP':[], 'UDP':[]}
                    for i in D_TCP_ALL:                    # 取全部TCP
                        D_SESSION_INFO['TCP'].append(i)    # 取全部TCP
                    提取PCAP中指定会话数据另存为独立PCAP(PCAP_File_OR_Dir, SaveDir, D_SESSION_INFO)
                elif 选择TCP或UDP == '3':
                    print("【W】数量多时比较耗时且执行不稳定")
                    D_SESSION_INFO = {'TCP':[], 'UDP':[]}
                    for i in D_UDP_ALL:                    # 取全部UDP
                        D_SESSION_INFO['UDP'].append(i)    # 取全部UDP
                    提取PCAP中指定会话数据另存为独立PCAP(PCAP_File_OR_Dir, SaveDir, D_SESSION_INFO)
                else:
                    print("【W】请重新选择")
                    continue


#LOG_DIR = 'A:\\LOG\\'
LOG_DIR = ''                                                    # 设置日志文件存放目录,默认和程序相同目录
Log = logging.getLogger("Main")
LOG_FILE = LOG_DIR + time.strftime('%Y-%m-%d_%H%M%S')+'.log'
formatter = logging.Formatter('%(message)s')                    # 指定logger输出格式
file_handler = logging.FileHandler(LOG_FILE,encoding='UTF8')    # 日志文件路径和编码
file_handler.setFormatter(formatter)                            # 可以通过setFormatter指定输出格式
Log.addHandler(file_handler)
#Log.setLevel(logging.DEBUG)                                    # 日志等级 DEBUG INFO WARNING ERROR CRITICAL 在交互时设置
## 日志内容同时在终端显示
console = logging.StreamHandler()
console.setLevel(logging.INFO)          # INFO级日志打印到终端
Log.addHandler(console)

PCAP_File_OR_Dir = 'A:\\test.pcap'      # PCAP文件或目录位置
#PCAP_File_OR_Dir = 'Z:\\B\\'
SaveDir = 'A:\\PCAP_Save\\'             # 拆分PCAP文件时存放的目录位置
视角 = 'S'


print(ReadMe)
RUN(LOG_DIR)

  网络协议 最新文章
使用Easyswoole 搭建简单的Websoket服务
常见的数据通信方式有哪些?
Openssl 1024bit RSA算法---公私钥获取和处
HTTPS协议的密钥交换流程
《小白WEB安全入门》03. 漏洞篇
HttpRunner4.x 安装与使用
2021-07-04
手写RPC学习笔记
K8S高可用版本部署
mySQL计算IP地址范围
上一篇文章      下一篇文章      查看所有文章
加:2021-08-17 15:45:03  更:2021-08-17 15:46:21 
 
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁

360图书馆 购物 三丰科技 阅读网 日历 万年历 2024年12日历 -2024/12/28 7:01:28-

图片自动播放器
↓图片自动播放器↓
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
图片批量下载器
↓批量下载图片,美女图库↓
  网站联系: qq:121756557 email:121756557@qq.com  IT数码
数据统计