一:包嗅探
嗅探工具的主要目标是基于UDP发现目标网络中存活的主机。绝大部分操作系统在处理UDP闭合端口时,存在一种共性行为,可以利用这种特性确定某IP上是否有主机存活,UDP对整个子网发送信息。
当发送一个UDP数据包到主机的某个关闭的UDP端口时,目标主机通常会返回一个ICMP包指示目标端口不可达。这样的ICMP信息意味着目标主机是存活的,如果没有收到UDP数据的任何响应,目标主机应该不存在。
import socket
import os
# 监听主机
host = "10.21.21.120"
# 创建原始套接字,然后绑定在公开接口上
if os.name == "nt":
socket_protocol = socket.IPPROTO_IP
else:
socket_protocol = socket.IPPROTO_ICMP
sniffer = socket.socket(socket.AF_INET, socket.SOCK_RAW, socket_protocol)
sniffer.bind((host, 0))
# 设置在捕获的数据包中包含IP头
sniffer.setsockopt(socket.IPPROTO_IP, socket.IP_HDRINCL, 1)
# 在WIN平台上,需要设置IOCTL以启用混杂模式
if os.name == "nt":
sniffer.ioctl(socket.SIO_RCVALL, socket.RCVALL_ON)
# 读取单个数据包
print sniffer.recvfrom(65565)
# 在WIN平台上关闭混杂模式
if os.name == "nt":
sniffer.ioctl(socket.SIO_RCVALL, socket.RCVALL_OFF)在win下
在win下使用混淆模式,
混淆模式使得经过这个网卡的所有数据包都会被捕获,
包括那些目标地址不是它的数据包。
linux下
小知识点:
(1)原始套接字直接使用IP协议的套接字,在这个套接字上可以调用connect和bind函数,分别执行绑定对方和本地地址.
(2当需要编写自己的IP数据包首部时,可以在原始套接字上设置套接字选项IP_HDRINCL.在不设置这个选项的情况下,IP协议自动填充IP数据包的首部.
两个比较好的讨论RAW SOCKET的帖子
http://www.cnblogs.com/BeginGame/archive/2011/09/24/2189786.html
http://blog.csdn.net/yanyiyyy/article/details/6566871/
二:解码IP层
嗅探器可以接收任何高层协议如TCP,UDP或ICMP的所有IP头信息,这些信息被打包成二进制数的形式,现在需要解码数据包中IP头的部分,提取协议类型(TCP,UDP,ICMP),源IP地址和目的IP地址等有用信息。
import socket
import os
import struct
from ctypes import *
host="10.21.21.120"
class IP(Structure):
_fields_=[
("ihl", c_ubyte,4),
("version", c_ubyte,4),
("tos", c_ubyte),
("len", c_ushort),
("id", c_ushort),
("offset", c_ubyte),
("ttl", c_ubyte),
("protocol_num", c_ubyte),
("sum", c_ushort),
("src", c_ulong),
("dst", c_ulong)
]
def __new__(self,socket_buffer=None):
最低0.47元/天 解锁文章
511
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
