一、工具準備
下載安裝scapy庫(https://blog.csdn.net/qq_23977687/article/details/88046257)
安裝完後:
ls() 命令可以查看所有支持的協議
ls(IP) 命令列出ip協議頭部字段格式,只要想查看哪個協議的參數,括號裏就填哪個協議
IP().show() 列出ip包的信息
lsc() 命令列出scapy的所有命令
conf 命令列出scapy 的配置參數
二、scapy用法
scapy是python中一個可用於網絡嗅探的非常強大的第三方庫,可以用它來做 packet 嗅探和僞造 packet。 scapy已經在內部實現了大量的網絡協議。如DNS、ARP、IP、TCP、UDP等等,可以用它來編寫非常靈活實用的工具。
換言之,Scapy 是一個強大的操縱報文的交互程序。它可以僞造或者解析多種協議的報文,還具有發送、捕獲、匹配請求和響應這些報文以及更多的功能。Scapy 可以輕鬆地做到像掃描(scanning)、路由跟蹤(tracerouting)、探測(probing)、單元測試(unit tests)、攻擊(attacks)和發現網絡(network discorvery)這樣的傳統任務。它可以代替 hping 、arpspoof 、arp-sk、arping,p0f 甚至是部分的Namp、tcpdump 和 tshark 的功能。
1.1、得到數據
有兩種方式,實時抓包,讀取 pcap文件
1.1.1 實時抓包:scapy抓包使用 sniff() 函數,這個函數有很多參數
def sniff(count=0, store=1, offline=None, prn=None,filter=None, L2socket=None, timeout=None, opened_socket=None, stop_filter=None, iface=None,*args,**kargs)
count:抓包的數量,0表示無限制;
store:保存抓取的數據包或者丟棄,1保存,0丟棄
offline:從 pcap 文件讀取數據包,而不進行嗅探,默認爲None
prn:爲每一個數據包定義一個函數,如果返回了什麼,則顯示。例如:prn = lambda x: x.summary(); ( packct.summar()函數返回的是對包的統計性信息 )
filter:過濾規則,使用wireshark裏面的過濾語法
L2socket:使用給定的 L2socket
timeout:在給定的時間後停止嗅探,默認爲 None
opened_socket:對指定的對象使用 .recv() 進行讀取;
stop_filter:定義一個函數,決定在抓到指定數據包後停止抓包,如:stop_filter = lambda x: x.haslayer(TCP);
iface:指定抓包的接口
實例:(eth0是要檢測的網卡名,count是抓包的數量)
from scapy.all import *
packets = sniff(iface=eth0, count=1)
1.1.2 讀取pcap文件:利用這個庫中的 rdpcap()方法來實現
import scapy.all as scapy
packets = scapy.rdpcap(xx.pcap)
2.1、解析結果
2.1.1 使用scapy的內置函數 show() 打印結果
for p in packets:
p.show()
輸出:
###[ Ethernet ]###
dst = 14:43:d0:65:ae:a2
src = 88:b8:5d:bd:0d:7f
type = IPv4
###[ IP ]###
version = 4
ihl = 5
tos = 0x0
len = 40
id = 28350
flags =
frag = 0
ttl = 128
proto = udp
chksum = 0x0
src = 192.168.1.56
dst = 192.144.236.192
\options \
###[ UDP ]###
sport = 59297
dport = ms_wbt_server
len = 20
chksum = 0x6f27
###[ Raw ]###
load = '\xae;\xf8\x01\x04\x00\x04\x04\x00\x01\x07\x00'
通過上述輸出結果,我們可以看得出每個層的數據包有哪些屬性可以取出。
這裏P代表的是Ethernet層。P.dst (取出dst屬性)、P.src (取出src屬性)、P.type (取出type屬性)
每一層都有一個 payload 屬性,可以不斷進入下一層。
p.payload:IP層(可用 p.payload.* 取出IP層的屬性)
p.payload.payload:TCP/UDP層(可用 p.payload.payload.* 取出TCP/UDP層的屬性)
p.payload.payload.payload:RAW層(可用 p.payload.payload.payload.* 取出RAW層的屬性)
2.2 根據列表標籤查找輸出
我們可以查看第一個數據包:package[0]是查看第一個數據包的數據,package[0].show()是查看第一個數據包的詳細信息,scapy是按照按照 TCP/IP 四層參考模型顯示詳細包信息的,即:鏈路層 [Ethernet]、網絡層[IP]、傳輸層[TCP/UDP]、應用層[RAW] 。我們還可以通過協議來查看指定的包:
package[UDP][0].show() ,因爲我們這裏只有UDP的數據包,所以就沒有這樣使用。,而我們也可以直接只獲取指定層的數據,如: pcap[UDP][1][Ether].dst 這個包裏面是等於ff:ff:ff:ff:ff:ff
from scapy.all import *
package=sniff(iface='eth0',count=10) #掃描eth0網卡的數據包,總數爲10個
print(package)
print(package[0]) #查看第一個數據包的數據
print(package[0].show()) #查看第一個數據包的詳情
######################################################################
<Sniffed: TCP:0 UDP:9 ICMP:0 Other:1>
b"\xff\xff\xff\xff\xff\xff\xc8[v\xec5\xed\x08\x00E\x00\x01#8G\x00\x00@\x11\x17=\n`\n\x88\n`\n\xff\xd6\x83\xd6\x83\x01\x0fN\xa0\x00qu-PC\x00\x00H\xb6\x1d\x07\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xe0\x1dF\x02\x00\x00\x00\x00\xd0\xb5\x1d\x07\x00\x00\x00\x003'\x00\x00\x00\x00\x00\x00\xd0\x1dF\x02\x00\x00\x00\x00\xc02\xc5\x05\x00\x00\x00\x00|j\x85`\x00\x00\x00\x00p\xa4/a\x00\x00\x00\x00\xf9\xb9\x1d\x07\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00`\xfe\xcc\x05\x00\x00\x00\x00D\xb6\x1d\x07\x00\x00\x00\x00`\xb6\x1d\x07\x00\x00\x00\x00H\xaa {efdced0c-1ada-40e0-a13e-2968030599d4}\x00\x00\x00\x00\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00@\xb6\x1d\x07\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00n\x00\xc5\xac"
###[ Ethernet ]###
dst = ff:ff:ff:ff:ff:ff
src = c8:5b:76:ec:35:ed
type = 0x800
###[ IP ]###
version = 4
ihl = 5
tos = 0x0
len = 291
id = 14407
flags =
frag = 0
ttl = 64
proto = udp
chksum = 0x173d
src = 10.96.10.136
dst = 10.96.10.255
\options \
###[ UDP ]###
sport = 54915
dport = 54915
len = 271
chksum = 0x4ea0
###[ Raw ]###
load = "\x00qu-PC\x00\x00H\xb6\x1d\x07\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xe0\x1dF\x02\x00\x00\x00\x00\xd0\xb5\x1d\x07\x00\x00\x00\x003'\x00\x00\x00\x00\x00\x00\xd0\x1dF\x02\x00\x00\x00\x00\xc02\xc5\x05\x00\x00\x00\x00|j\x85`\x00\x00\x00\x00p\xa4/a\x00\x00\x00\x00\xf9\xb9\x1d\x07\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00`\xfe\xcc\x05\x00\x00\x00\x00D\xb6\x1d\x07\x00\x00\x00\x00`\xb6\x1d\x07\x00\x00\x00\x00H\xaa {efdced0c-1ada-40e0-a13e-2968030599d4}\x00\x00\x00\x00\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00@\xb6\x1d\x07\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00n\x00\xc5\xac"