1 前言
在实际生产中,有些会碰到奇怪的数据包,导致各类异常。现场实施人员抓包回来后,我们希望在办公室内模拟重现,分析解决这些问题。因此,用scapy来解决这些问题是最方便的。
可以官网直接下载整合包,适合便携,也可以
pip install scapy
Python 2.7或者3.X都可以
2 模拟发包
下面就是一个读取文件,模拟发包到127.0.0.1:40002的例子。还附带了模拟丢包的场景(被注释掉的那些)。
需要注意,因为比较偷懒,假设包里已经预先处理好了,都是需要发送的UDP数据了。
#!/usr/bin/env python
#coding=utf-8
import scapy
from scapy.all import *
from scapy.utils import PcapReader
from datetime import date
import socket
target=("127.0.0.1",40002)
reader = PcapReader("C:/my.pcap")
s=socket.socket(socket.AF_INET,socket.SOCK_DGRAM)
i = 0
#j = 0
while True:
try:
pkt = reader.next()
#emulate pkt lost
#j+=1
#if j == 100:
# pkt=reader.next()
# j = 0
s.sendto(pkt["UDP"].payload.original,target)
i+=1
if i == 500 :
time.sleep(0.01)
i = 0
except StopIteration:
break
print ("all packet replay fin.")
3 RTP去重
类似的,有时候因为抓的any,如果是bond的网卡,存在着重复包,我们可以通过RTP Seq判断去重
import scapy
from scapy.all import *
from scapy.utils import PcapReader
from scapy.utils import PcapWriter
from datetime import date
import socket
reader = PcapReader("C:/Users/13077/Desktop/1111.pcap")
writer = PcapWriter("C:/Users/13077/Desktop/222.pcap", append=True, sync=True)
i = 0
seq = -1
last_seq = -1
while True:
try:
pkt = reader.next()
if len(pkt["UDP"].payload.original) >= 12 :
seq = int.from_bytes(pkt["UDP"].payload.original[2:4],'big')
if last_seq != seq :
last_seq = seq
writer.write(pkt)
except StopIteration:
break
print ("all packet saved.")
4 读取HTTP内容
scapy还能做很多其他的,比方说,包里面含有多次HTTP交互,你想读取HTTP内容
if 'TCP' in pkt:
#dataInTcp = pkt["TCP"]
#s = repr(dataInTcp)
#print(s)
if 'Raw' in pkt:
if pkt.payload.dport == server_port:
out_html.write('\n<p><span style="color:blue">')
elif pkt.payload.sport == server_port:
out_html.write('\n<span style="color:green">')
else:
continue
out_html.write('\n<b>')
out_html.write('Seq: '+ str(i) + '</br>')
out_html.write('Time: '+ datetime.utcfromtimestamp(pkt.time).isoformat(' ') + '</br>')
out_html.write('From: '+ pkt.payload.src + ":" + str(pkt.payload.sport) + '</br>')
out_html.write('To: '+ pkt.payload.dst + ":" + str(pkt.payload.dport) + '</br>')
out_html.write('\n</b>')
out_html.write(pkt["Raw"].load.replace("\r\n","</br>") + '</br>')
out_html.write('\n</span></p>')
5 实时抓包
通过sniff可以直接抓包+解析一部到位,这个是类似的例子
@staticmethod
def live_capture(protocol,server_port):
filter = protocol + ' port ' + str(server_port)
sniff(filter=filter,count=0,prn=lambda x:FilterHTTP.printPkt(x,server_port,-1))
if __name__ == "__main__" :
# FilterHTTP.filter('G:/code/debug_http/sip_call.pcapng',5060)
FilterHTTP.live_capture('tcp',5060)