python scapy网络嗅探

最新推荐文章于 2024-03-14 09:20:19 发布
最新推荐文章于 2024-03-14 09:20:19 发布
阅读量1.6w 收藏 34
点赞数 5
分类专栏: python python 搞网络安全 文章标签: python scapy 流量嗅探 sniffer
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Jeanphorn/article/details/45700551
版权

1. 介绍

  scapy是一个可用于网络嗅探的非常强大的第三方库。在网络嗅探方面前面的博文介绍过通过Raw Socket进行网络嗅探,但是Raw Socket比较底层,使用起来可能不太容易而且在不同的系统上也有一定的区别。
  在网络流量嗅探方面,常用的一些第三方库:
  

  • pylibpcap
  • pycapy
  • pypcap
  • impacket

  • scapy

     接下来我详细介绍下scapy的使用,它在这些库中功能最强大使用也最灵活。具有以下几个特点:
     

  • 交互模式,用作第三方库。

  • 可以用来做packet嗅探和伪造packet。
  • 已经在内部实现了大量的网络协议。(DNS,ARP,IP,TCP,UDP等等)
  • 可以用它来编写非常灵活实用的工具。
      
     更详细的信息可参考官方scapy使用说明书

2. 使用scapy

2.1 scapy安装

  既然是第三方库,系统上默认是没有安装的。在Ubuntu下,我们可以直接使用以下命令进行安装:
  sudo apt-get install scapy
  安装完成以后,只需要在终端下执行sudo scapy就可以进入scapy的命令行模式。

2.2 scapy可用到的协议层次

  • ls() 列出scapy中已实现的网络协议。还有很多下图中没有列举出来,可亲自试验一下便知。

ls

  • ls(IP) 列出IP协议头部字段格式。

lsip

  • IP().show() 显示包的IP信息。

  • lsc() 列出scapy中可以使用的命令或函数。

cmd

  • conf scapy配置选项

2.3 scapy嗅探示例

  在scapy命令模式下,异常输入以下代码进行试验。
 
  1)、嗅探流量包。

>>> 
>>> pkts = sniff(iface = "eth0",count = 3 )
>>> 
>>> pkts
<Sniffed: TCP:3 UDP:0 ICMP:0 Other:0>
>>>

  sniffer函数进行嗅探流量,iface表示使用的网卡接口,count是嗅探包的个数。结果显示嗅探到了3个TCP包。可以输入pkts[i]查看包的具体内容。
  

>>> pkts[0]
<Ether  dst=40:6c:8f:2e:d5:c4 src=08:00:27:35:42:59 type=0x800 |<IP  version=4L ihl=5L tos=0x0 len=100 id=49675 flags=DF frag=0L ttl=64 proto=tcp chksum=0xf4ca src=192.168.1.14 dst=192.168.1.95 options=[] |<TCP  sport=ssh dport=61557 seq=3819086788L ack=2841623555L dataofs=8L reserved=0L flags=PA window=4706 chksum=0x8414 urgptr=0 options=[('NOP', None), ('NOP', None), ('Timestamp', (201493961, 1254273559))] |<Raw  load='\xc7\xb9 \xa7.\xa4\xd1\xf7\x90\xe2\x04\x8c\xb5\xd4Y:\xc5\x0eD*+e]*\xb2\xf1O(\xc3\x93\xd2\x96\x14\xfb\n\x1cGD>\x96\x86>$\x00\xcc\x95\xff`' |>>>>
>>> 
>>>

 可以看到以太网帧头各个字段的具体值,还有后面跟的协议类型,这里是IPv4,还有IP个字段的值以及IP上层的TCP协议及其字段值。如果感觉还是不够清晰,可以使用pkts[i].show()更加清楚明了的看到packet中各协议字段的具体值。
 sh

 2)、将嗅探到的packet内容写到pcap文件中和读取pcap文件。
 

>>> 
>>> 
>>> wrpcap("demo.pcap",pkts)
>>> 
>>> 
>>> read_pkts = rdpcap("demo.pcap")
>>> 
>>> read_pkts[0]
<Ether  dst=40:6c:8f:2e:d5:c4 src=08:00:27:35:42:59 type=0x800 |<IP  version=4L ihl=5L tos=0x0 len=100 id=49675 flags=DF frag=0L ttl=64 proto=tcp chksum=0xf4ca src=192.168.1.14 dst=192.168.1.95 options=[] |<TCP  sport=ssh dport=61557 seq=3819086788L ack=2841623555L dataofs=8L reserved=0L flags=PA window=4706 chksum=0x8414 urgptr=0 options=[('NOP', None), ('NOP', None), ('Timestamp', (201493961, 1254273559))] |<Raw  load='\xc7\xb9 \xa7.\xa4\xd1\xf7\x90\xe2\x04\x8c\xb5\xd4Y:\xc5\x0eD*+e]*\xb2\xf1O(\xc3\x93\xd2\x96\x14\xfb\n\x1cGD>\x96\x86>$\x00\xcc\x95\xff`' |>>>>
>>> 
>>> read_pkts[1]
<Ether  dst=08:00:27:35:42:59 src=40:6c:8f:2e:d5:c4 type=0x800 |<IP  version=4L ihl=5L tos=0x10 len=52 id=51922 flags=DF frag=0L ttl=64 proto=tcp chksum=0xec23 src=192.168.1.95 dst=192.168.1.14 options=[] |<TCP  sport=61557 dport=ssh seq=2841623555L ack=3819086836L dataofs=8L reserved=0L flags=A window=4094 chksum=0x6ed5 urgptr=0 options=[('NOP', None), ('NOP', None), ('Timestamp', (1254273559, 201493961))] |>>>
>>> 
>>>

  3)、为sniffer函数添加过滤条件。
  用过wireshark或者tcpdump的coders都知道,网络中的流量是庞大而复杂的,有时候我们需要增加一些特定的条件将我们想要看到的数据筛选出来。比如filter= "udp"
  

>>> 
>>> pkts = sniff(iface = "eth0",filter = "udp",count = 3 )
>>> 
>>> pkts[1]
<Ether  dst=01:00:5e:40:98:8f src=f0:4d:a2:ec:0e:ae type=0x800 |<IP  version=4L ihl=5L tos=0x0 len=164 id=12947 flags= frag=0L ttl=1 proto=udp chksum=0x3ca4 src=192.168.1.26 dst=239.192.152.143 options=[] |<UDP  sport=63896 dport=6771 len=144 chksum=0xd3c7 |<Raw  load='BT-SEARCH * HTTP/1.1\r\nHost: 239.192.152.143:6771\r\nPort: 6881\r\nInfohash: 84d2ada63a5dababde669f25018befe1e5c1a0d7\r\ncookie: 973480f9\r\n\r\n\r\n' |>>>>
>>> pkts[2]
<Ether  dst=01:00:5e:40:98:8f src=f0:4d:a2:ec:0e:ae type=0x800 |<IP  version=4L ihl=5L tos=0x0 len=164 id=12948 flags= frag=0L ttl=255 proto=udp chksum=0x3ea2 src=192.168.1.26 dst=239.192.152.143 options=[] |<UDP  sport=6771 dport=6771 len=144 chksum=0xb2ed |<Raw  load='BT-SEARCH * HTTP/1.1\r\nHost: 239.192.152.143:6771\r\nPort: 6881\r\nInfohash: 84d2ada63a5dababde669f25018befe1e5c1a0d7\r\ncookie: 973480f9\r\n\r\n\r\n' |>>>>
>>> 
>>>

 3)、动态打印出概要结果。
 
 在scapy命令模式中输入命令pkts = sniff(iface = "eth0",filter = "icmp",count = 30, prn = lambda x: x.summary()),这里我把嗅探包的数量提高到30,然后过滤ICMP协议类型的包。一边等待显示结果,可以另起一个终端,然后ping一个网址,观察嗅探现实的结果。
 prn
 4)、帧与字符串的互相转换
 

>>> 
>>> 
>>> icmp_str = str(pkts[0])
>>> 
>>> icmp_str
"@l\x8f.\xd5\xc4\x08\x00'5BY\x08\x00E\x00\x00d\xc3\xdd@\x00@\x06\xf2\xf8\xc0\xa8\x01\x0e\xc0\xa8\x01_\x00\x16\xf0u\xe3\xa3;\x04\xa9`\nS\x80\x18\x13\xcc\x84\x14\x00\x00\x01\x01\x08\n\x0c\x0b+\xa9J\xe5\x14\xccz\x19\x82\xbd\\$\xc7Y\x1c\x1c\xf0\xb5a\x9e\xa3\x0b7\x0c\xf0\xcb\xa1@\x86,\xd8\xc5yJ_Q\xaaQ\xf5\x98\xd5<_q\x15B\xab\xceE\xa8&\x9d\x0b\x95"
>>> 
>>> recombine = Ether(icmp_str)
>>> 
>>> recombine
<Ether  dst=40:6c:8f:2e:d5:c4 src=08:00:27:35:42:59 type=0x800 |<IP  version=4L ihl=5L tos=0x0 len=100 id=50141 flags=DF frag=0L ttl=64 proto=tcp chksum=0xf2f8 src=192.168.1.14 dst=192.168.1.95 options=[] |<TCP  sport=ssh dport=61557 seq=3819125508L ack=2841643603L dataofs=8L reserved=0L flags=PA window=5068 chksum=0x8414 urgptr=0 options=[('NOP', None), ('NOP', None), ('Timestamp', (202058665, 1256527052))] |<Raw  load='z\x19\x82\xbd\\$\xc7Y\x1c\x1c\xf0\xb5a\x9e\xa3\x0b7\x0c\xf0\xcb\xa1@\x86,\xd8\xc5yJ_Q\xaaQ\xf5\x98\xd5<_q\x15B\xab\xceE\xa8&\x9d\x0b\x95' |>>>>
>>>

 5)、导入导出base64编码格式的数据

>>> 
>>> 
>>> export_object(str(pkts[0]))
eNoBeQCG/4ACVXJAbI8u1cQIACc1QlkIAEUAAGTD3UAAQAby+MCoAQ7AqAFfABbwdeOjOwSpYApT
gBgTzIQUAAABAQgKDAsrqUrlFMx6GYK9XCTHWRwc8LVhnqMLNwzwy6FAhizYxXlKX1GqUfWY1Txf
cRVCq85FqCadC5VxAS4+6i3U

>>> 
>>> newPkt = import_object()   #将上一步导出的字符串填入,回车,"ctrl_+d"结束。
eNoBeQCG/4ACVXJAbI8u1cQIACc1QlkIAEUAAGTD3UAAQAby+MCoAQ7AqAFfABbwdeOjOwSpYApT
gBgTzIQUAAABAQgKDAsrqUrlFMx6GYK9XCTHWRwc8LVhnqMLNwzwy6FAhizYxXlKX1GqUfWY1Txf
cRVCq85FqCadC5VxAS4+6i3U
>>> newPkt
"@l\x8f.\xd5\xc4\x08\x00'5BY\x08\x00E\x00\x00d\xc3\xdd@\x00@\x06\xf2\xf8\xc0\xa8\x01\x0e\xc0\xa8\x01_\x00\x16\xf0u\xe3\xa3;\x04\xa9`\nS\x80\x18\x13\xcc\x84\x14\x00\x00\x01\x01\x08\n\x0c\x0b+\xa9J\xe5\x14\xccz\x19\x82\xbd\\$\xc7Y\x1c\x1c\xf0\xb5a\x9e\xa3\x0b7\x0c\xf0\xcb\xa1@\x86,\xd8\xc5yJ_Q\xaaQ\xf5\x98\xd5<_q\x15B\xab\xceE\xa8&\x9d\x0b\x95"
>>> Ether(newPkt)
<Ether  dst=40:6c:8f:2e:d5:c4 src=08:00:27:35:42:59 type=0x800 |<IP  version=4L ihl=5L tos=0x0 len=100 id=50141 flags=DF frag=0L ttl=64 proto=tcp chksum=0xf2f8 src=192.168.1.14 dst=192.168.1.95 options=[] |<TCP  sport=ssh dport=61557 seq=3819125508L ack=2841643603L dataofs=8L reserved=0L flags=PA window=5068 chksum=0x8414 urgptr=0 options=[('NOP', None), ('NOP', None), ('Timestamp', (202058665, 1256527052))] |<Raw  load='z\x19\x82\xbd\\$\xc7Y\x1c\x1c\xf0\xb5a\x9e\xa3\x0b7\x0c\xf0\xcb\xa1@\x86,\xd8\xc5yJ_Q\xaaQ\xf5\x98\xd5<_q\x15B\xab\xceE\xa8&\x9d\x0b\x95' |>>>>
>>>
jeanphorn
关注
  • 5
    点赞
  • 34
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
pythonscapy库,实现网卡收发包的例子
01-20
问题: 测试时 收发流采用TestCenter、SmartBit等仪表来进行。如果仍采用其进行自动化冒烟,则会带来效率低、成本高的问题。 解决方案: 采用网卡来收发流,虽然有性能统计上的缺陷,但可以验证一些基本功能,且经济。 采用scapy模块, 1-获取计算机网卡的iface,并预先设计好用哪些iface进行收发流; 2-conf.L2listen对各个iface进行监听 3-subprocess.Popen来调用tShark.exe启动抓包,也可以调用ping.exe构造ping包 4-sendp发送二层报文,send发送三层报文 5-sniff嗅探iface上的指定报文,可以有过滤条件
scapy网络安全编程
08-10
学习scapy在网络攻防中的应用ppt。可以学习python在网络信息获取,网络协议分组构造和解析和嗅探,以及各种攻击的数据包产生。
IPv4协议二进制实例分析
火焰
09-13 1187
下面是用wireshark捕获的一段报文:   A B C D E F G H I J K L M N O P 1 01 00 5e 40 98
学习Python渗透第一天:Python中的Scapy
最新发布
2203_75839317的博客
03-14 1092
由于数据包中的数据由多种协议组成,而为了解析方便,我们将这些协议大致分为四层,也就是TCP/IP协议,由下至上分别是:数据链路层,网络层,传输层,应用层。因为这些分层,数据包的结构变的清晰明了。而scapy库就是可以直接操作数据包里的这些层级的库。
URLsniffer:使用 PythonScapy 的简单 URL 嗅探
07-02
网址嗅探器 使用 PythonScapy 的简单 URL 嗅探器 ###用法 -h将显示帮助文档 -i [Interface Name]设置要监听的设备 -e [Path/To/File.name]从 PCAP 文件中读取 URL
python scapy
11-15
scapy compatibility.py 177行出错。用这个包可以解决。删除C:\Python27\Lib\site-packages\scapy目录下所有文件。解压zip包中文件,运行命令 python setup.py install
sniffer:在Windows 10上使用Scapy和PyQt5的简单嗅探
05-14
嗅探器 在Windows上使用Scapy和PyQt5的简单嗅探器。 (可选)通过鼠标时简要介绍有效信息。 去做 入门 只需下载所有文件并运行main.py 先决条件 Windows 10 Python 3.6 修改的scapy3k用于多处理目的。 只需从这里直接使用即可。 ansi2html用于将ANSI ESCAPE序列解析为html css。 psutil用于检测系统级别的数据包接收量以计算网络速度。 urllib3用于解析HTTP响应 PyQt5 GUI 需要安装Win10Pcap(推荐) ,Npcap(可能缺少某些数据包的轻微问题)。 仅测试和修改与Windows用户有关的库。 可选的 pyshark用于解析原始数据包中的简短信息。 尖端: 但是,最新版本无法在Win10上正常运行,因此仅在需要简短有效的数据包信息时才使用并建议使用0.3.6.2版。 用法
python抓包(sniff)-----实现wireshark抓包功能
热门推荐
qq_43665434的博客
10-31 3万+
python嗅探工具(sniff)详解 安装scapy模块 打开DOS命令行 python -m pip install scapy sniff()函数 功能 数据嗅探 几个参数 iface: 指定在哪个网络接口上抓包 count: 表示要捕获数据包的数量。默认为0(不限制数量) filter: 流量的过滤规则。使用的是BPF的语法 prn: 定义回调函数,使用lambda表达式来写回调函数(当符合filter的流量被捕获时,就会执行回调函数) BPF过滤语法举例 只捕获某个IP主机进行交互的流量:host
Python Scapy工具-sniff函数
ASDF的博客
07-23 1万+
Scapy 是适用于 Python 的一个快速、高层次的屏幕抓取和 web 抓取框架,用于抓取 web站点并从页面中提取结构化的数据。 Scapy可以轻松地处理扫描(Scanning)、路由跟踪(Tracerouting)、探测(Probing)、单元测试(Unit Tests)、攻击(Attacks)和发现网络(Network Discorvery)之类的传统任务。 Scapy的安装如下: 通过cmd命令:pip install scapy 进行安装 sniff函数及其参数如下: sniff(count=
python//网络嗅探
manchenyg的博客
07-08 6939
python编写网络嗅探网络嗅探网络嗅探器又称网络监听器,简称Sniffer子系统,放置于网络节点上,对网络中的数据帧进行捕获的一种被动监听手段,是一种常用的收集有用信息的方法。 嗅探器原理 原理上来说,在一个实际的系统中,数据的收发是由网卡来完成的,网卡接收到传输来的数据,网卡内的单片程序接收数据帧的目的MAC地址,根据计算机上的网卡驱动程序设置的接收模式判断该不该接收,认为该接收就接收...
python渗透测试入门——流量嗅探
人生不怕起点低,就怕没追求
03-06 478
接收到预期的ICMP消息时,我们首先检查这个响应是不是来自我们正在扫描的子网,然后检查ICMP消息里有没有我们自定义的签名。在负责接收数据包的主循环中,我们会判断接收到的数据包是否为ICMP数据包,然后计算出ICMP数据在原始数据包中的偏移,最后将数据按照ICMP结构进行解析。注意:这里Windows和Linux的区别是,前者允许我们嗅探任何协议的所有流入数据,而后者强制我们指定一个协议来嗅探,这里指定的是ICMP。上面这只是一个非常简单的嗅探器,那我们将对它的功能进行进一步的拓展。1.代码及代码讲解。
抓包_pythonsniff抓包_抓包_
10-01
获取指定网卡上数据刘,解析出其中的 tcp封包信息
Web failsafe httpd 移植到uboot_mt7620的过程
释放“芯”中的小宇宙
10-26 1万+
以 u-boot_sources_for_tp-link_AR9331_by_pepe2k 为蓝本。 将net目录下的Makefile、httpd.c 和 uip-0.9目录复制覆盖到mt7620目录,Makefile可以直接覆盖。 最关键的文件是net.c,需要对照蓝本文件好好进行修改,大致修改的地方有这些: net.c的前部,加入必须的包含文件和相关变量定义, #include "
不服内核!DPDK实现的用户态协议栈(UDP)
Lion_Long的博客
02-02 1064
这篇文章将介绍DPDK(数据平面开发工具包)如何实现UDP用户态协议栈,进而横扫传统网络传输的瓶颈,实现极速传输。文章将深入讨论DPDK实现的UDP用户态协议栈的优势,比如超高的速度和低延迟,使得数据传输速度达到前所未有的水平。通过这篇文章,读者将能够了解到如何利用DPDK实现UDP用户态协议栈来拥抱极速网络传输,挑战传统网络传输的局限性,以及应用在实际场景中取得的突破性成果。内容: NIC与DPDK的比较 环境配置 Windowe下配置静态IP表 代码实现
Python scapy sniff函数参数使用
captain
05-30 1044
【代码】Python scapy sniff函数参数使用。
Pythonscapy-sniff(流量监控)
q759451733的博客
12-05 2万+
本篇文章主要讲述的是ARP流量监控,就当局域网中有攻击者运用ARP毒化,如果IP地址和MAC地址不对应时,就打印出不对应的字符,或者该局域网没有的IP地址,也会打印没有该主机。也可以改成TCP、UDP等协议的监控,不过ARP比较方便阐述,因为ARP协议几乎每时每刻都在发送。该篇文章对防黑客是有很大功效的,当黑客发送一些奇奇怪怪的数据报时,我们可以运用Python来报警,告知管理员有奇怪的数据报发来...
Python Scapy-sniff函数
u010238483的博客
04-03 1万+
sniff(count=0, store=1, offline=None, prn=None, filter=None, L2socket=None, timeout=None, opened_socket=None, stop_filter=None, iface=None) cou...
PythonScapy模块导入和基础学习
BrosyveryOK的博客
10-30 1723
一起来学scapy
scapy 嗅探数据包(wireshark数据抓包)
qq_38393271的博客
06-09 5117
1. 安装scapy 2. scapy使用方法3. 使用scapy进行数据嗅探 4. 保存数据包 5. 使用wireshark查看GFG.pcap 6. scapy加载数据包
python网络嗅探
09-11
Python有许多用于网络嗅探的库和工具。其中最常用的是Scapy库,它提供了强大的网络数据包操作功能。通过Scapy,你可以轻松地构建自己的网络嗅探器。 下面是一个使用Scapy实现简单网络嗅探的例子: ```python from scapy.all import * def packet_callback(packet): if packet[TCP].payload: data = packet[TCP].payload print(data) sniff(filter="tcp", prn=packet_callback, store=0) ``` 上面的代码使用Scapy进行网络嗅探,并打印捕获到的TCP数据包的内容。你可以根据需求修改代码来处理其他类型的数据包或执行其他操作。 需要注意的是,网络嗅探是一项敏感而复杂的任务,需要谨慎进行。在进行网络嗅探时,请遵守法律法规和道德准则,并确保获得合法的授权。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值