信息内容安全实验-被动捕包

已于 2023-10-13 17:52:50 修改
阅读量217 收藏
点赞数
文章标签: 安全
于 2023-10-13 17:08:20 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hanbing0126/article/details/133814765
版权

信息内容安全实验-被动捕包

博客

实验要求

能够捕抓到流量包,最终能解析到http请求包的头部以及响应包的返回内容即可,不需要gzip解压(如果有gzip压缩的话

实验分析

采用linux下Pypcap配合dpkt进行处理即可(后面还添加了scapy处理的部分

不过好像用scapy可以直接进行抓流量并且分析(更加方便

Pypcap

Pypcap在linux下基于libpcap。

首先我们要选好抓取的网卡接口

iface = 'ens33'
pkt = pcap.pcap(iface, promisc=True, immediate=True, timeout_ms=50)

写好这两句即可设定抓包的网卡接口

linux下和windows下这个接口是不一样的

import pcap

# 查找所有的网卡接口
interfaces = pcap.findalldevs()

# 打印所有网卡接口
for interface in interfaces:
    print(interface)

这个方法可以打印所有网卡接口

windows下网卡接口是\devices\xxx这样的,这个时候可以配合wireshark

想要获取devices\xxx对应的网卡接口昵称,可以在wireshark-编辑-首选项-捕获-默认接口那里可以点开查看

在这里插入图片描述

dpkt解析

解析方法如下,具体用法可以查看文档

def anlysisData_requests(data):
    # 解析以太网帧
    eth = dpkt.ethernet.Ethernet(data)
    # 解析ip数据包
    if isinstance(eth.data, dpkt.ip.IP):
        ip = eth.data
        if isinstance(ip.data, dpkt.tcp.TCP):
            """tcp"""
            tcp = ip.data
            # 解析80端口流量
            if tcp.dport == 80 or tcp.sport == 80:
                try:
                    #解析到http
                    http = dpkt.http.Request(tcp.data)
                    log("http requests->")
                    print(http)
                except (dpkt.dpkt.NeedData, dpkt.dpkt.UnpackError):
                    pass

scapy解析

解析方法如下,个人认为比dpkt好用(debug的时候可以随时打印)

def anlysisData_response(data):
    ether_pkt = Ether(data)
    try:
        ip_pkt = ether_pkt[IP]
        tcp_pkt = ip_pkt[TCP]
        if tcp_pkt.haslayer(Raw):
            if ip_pkt.flags.DF == 1:
                log("该报文没有分片")
            else:
                log("该报文分片了")
            # log(tcp_pkt.flags)
            raw_pkt = tcp_pkt[Raw]
            load = raw_pkt.load
            log("http response->")
            print(load)
    except:
        pass

实验代码

import pcap
import dpkt

import getopt
import sys
import datetime
import time
import os
import gzip
from dpkt.compat import BytesIO
from scapy.all import *

def captureData(iface):
    pkt = pcap.pcap(iface, promisc=True, immediate=True, timeout_ms=50)
    # filter method
    filters = {
        'DNS': 'udp port 53',
        'HTTP': 'tcp port 80'
    }
    pkt.setfilter(filters['HTTP'])

    pcap_filepath = 'pkts/pkts_{}.pcap'.format(time.strftime("%Y%m%d-%H%M%S",
        time.localtime()))
    pcap_file = open(pcap_filepath, 'wb')
    writer = dpkt.pcap.Writer(pcap_file)
    print('Start capture...')
    try:
        pkts_count = 0
        for ptime, pdata in pkt:
            writer.writepkt(pdata, ptime)
            anlysisData_requests(pdata)
            anlysisData_response(pdata)
            pkts_count += 1
    except KeyboardInterrupt as e:
        writer.close()
        pcap_file.close()
        if not pkts_count:
            os.remove(pcap_filepath)
        print('%d packets received'%(pkts_count))

def log(x):
    print("\x1B[36m{}\x1B[0m".format(x))

def anlysisData_requests(data):
    # 解析以太网帧
    eth = dpkt.ethernet.Ethernet(data)
    # 解析ip数据包
    if isinstance(eth.data, dpkt.ip.IP):
        ip = eth.data
        if isinstance(ip.data, dpkt.tcp.TCP):
            """tcp"""
            tcp = ip.data
            # 解析80端口流量
            if tcp.dport == 80 or tcp.sport == 80:
                try:
                    #解析到http
                    http = dpkt.http.Request(tcp.data)
                    log("http requests->")
                    print(http)
                except (dpkt.dpkt.NeedData, dpkt.dpkt.UnpackError):
                    pass
            

def anlysisData_response(data):
    ether_pkt = Ether(data)
    try:
        ip_pkt = ether_pkt[IP]
        tcp_pkt = ip_pkt[TCP]
        if tcp_pkt.haslayer(Raw):
            if ip_pkt.flags.DF == 1:
                log("该报文没有分片")
            else:
                log("该报文分片了")
            # log(tcp_pkt.flags)
            raw_pkt = tcp_pkt[Raw]
            load = raw_pkt.load
            log("http response->")
            print(load)
    except:
        pass

def main():
    iface = 'ens33'
    captureData(iface)

if __name__ == "__main__":
    main()
hkb1n
关注
我的Android进阶之旅------>Android中编解码学习笔记
字节卷动
09-26 8952
编解码学习笔记(一):基本概念 媒体业务是网络的主要业务之间。尤其移动互联网业务的兴起,在运营商和应用开发商中,媒体业务份量极重,其中媒体的编解码服务涉及需求分析、应用开发、释放license收费等等。最近因为项目的关系,需要理清媒体的codec,比较搞的是,在豆丁网上看运营商的规范 标准,同一运营商同样的业务在不同文档中不同的要求,而且有些要求就我看来应当是历史的延续,也就是现在已经很少采
点云从入门到精通技术详解100篇-基于激光点云语义的环境感知
getusushu的博客
12-25 1404
标进行分类,利用激光雷达的可靠性对障碍物检测和测距,融合两者的优点完成环境感知。激光点云中的每个三维点都被语义的强图像特征增强,用于神经网络学习。随着深度学习的发展,来处理它们,这里的输入和输出都是点云,虽然点的数量保持不变,但点的特征被增强了。在无人车的行驶过程中,激光雷达同时以一定的角速度匀速转动,不断地发出激光并收集。反射点的信息,这些点坐标的集合就形成了点云。由于雨和雾都是由小水滴构成的,水滴的半径和其在空中的分布密度直接决定了。激光雷达并不是完美的,往往存在点云过于稀疏,甚至丢失部分点的问题;
哈工大系统安全实验1实验报告参考.pdf
11-29
哈工大计算机系统安全课程参考实验报告 要求: (1) 设想一种场景需要进行普通用户和root用户切换,设计程序实现euid的安全管理 配合第3章 完成进程中euid的切换,实现root权限临时性和永久性管理,加强程序的安全性 说明:1学时,不分组实现 (2) 搭建安全的沙盒环境,在沙盒环境中提供必须的常见工具,并提供程序验证沙盒环境的安全性 配合第3章 实现系统中的虚拟化限制方法,实现安全的系统加固,测试虚拟化空间的加固程度 说明:3学时,2人一组,分组实现
哈工大信息内容安全实验
weixin_45937957的博客
06-08 4401
前面的话:这次的实验是分为ABC三级,如图,大部分同学都会选择A或B级,本组选择微博管控(B级),但也成功实现对图片和视频的分析(A级)加入数据库,界面友好,对一种功能进行多种实现方式,选择最优效果(加分项),由于整个项目很大,这里仅提供我们小组的实验报告,对每一个模块都提供链接,学弟学妹根据实际情况按需参考。 目录本系统是基于python机器学习的微博流量分析与管控系统,主要针对微博的所有文字信息、图像信息和音视频信息进行捕获、分析和管控等。 本系统会针对微博热搜榜进行爬虫,并预处理过滤筛除热搜榜单上的
python dpkt_Python dpkt.NeedData方法代码示例
weixin_39969881的博客
12-22 482
# 需要导入模块: import dpkt [as 别名]# 或者: from dpkt import NeedData [as 别名]def _https_identify(self, conn, data):"""Extract a combination of the Session ID, Client Random, and ServerRandom in order to identi...
哈工大《信息内容安全》课程知识要点和难点
weixin_45937957的博客
06-28 2044
信息内容安全》课程知识要点和难点第一章 概述 1.网络安全威胁的主体有哪些? 2.什么是网络空间?网络空间的四要素包括哪些? 3.《网络安全法》中的主体、客体主要有哪些?试列举各主体的基本责任和义务。 4.什么是网络空间?什么是网络空间安全?网络空间安全研究方向有哪些? 5.国家网络强国战略的主要内容?我国政府中网络安全部门主要有哪些? 6.什么是网络空间主权?基本原则是什么?(独立平等自主管辖) 7.什么是信息内容安全? 8.信息内容安全的主要威胁有哪些?有哪些典型事件? (净网反恐反腐知识产权邪教反分
6安全评估与测试
zd454909951的博客
02-21 1275
定期进行 6.1 审计策略 审计,对信息系统内部安全控制的系统性评估 信息系统的安全审计时对特定范围的人、计算机、过程和信息的各种安全控制所实施的一个系统性评估 监管或合规要求,信息系统架构的重大变化,或者是组织面临威胁的新发展等方面都会驱动审计的发生 审计的范围应与业务经理协调后确定 信息系统的安全审计流程:确定目标、让合适的业务部门领导参与、确定范围、选择审计团队、计划审计、执行审计、记录结果、将结果传达给合适的领导 任何审计的最终期望状态:审计结果有效地传达给目标受众 内部
网络安全专业名词解释
aixmmmlll的博客
05-16 3999
1.Burp Suite 是一款信息安全从业人员必备的集成型的渗透测试工具,它采用自动测试和半自动测试的方式,通过拦截HTTP/HTTPS的Web数据包,充当浏览器和相关应用程序的中间人,进行拦截、修改、重放数据包进行测试,是Web安全人员的一把必备的瑞士军刀。 2.Bypass就是绕过的意思,渗透测试人员通过特殊语句的构建或者做混淆等进行渗透测试,然后达到绕过WAF的手法。 3.C2全称为Command and Control,命令与控制,常见于APT攻击场景中。作动词解释时理解为恶意软件与攻击者进行交互
【HCIE备考】笔试题库P11-19
逗老师的博客
08-16 2057
目录PART 11PART 12PART 13PART 14PART 15PART 16PART 17PART 18PART 19 PART 11 一、单选题 (本大题共29个小题,总29分) 1/[单选题](1分) 以下关于数字证书说法错误的是哪项? A 数字签名保障数字证书的完整性。 B 数字证书包含公钥信息。 C 当收到的对等体证书在有效期内,但设备自身时间错误且不在证书有效期内,认证失败。 D 两个 PRI 实体即使不在同一 CA 系统中,只要双方能够识别对方 CA,也可以完成身份验证。 正确答案:
Python 使用dpkt提取五元组
努力学习
02-11 3052
这个是在实习期间做的一个小程序,用来提取包的五元组。提取包可以用wireshark进行保存,也可以使用师兄开发的程序Streamdump进行抓包,格式为pcap 这个程序的目的是抓取五元组:目的IP,目的端口,源地址,源端口以及ServerName。也可以作其他修改,提取需要的东西。 存在一些奇怪的包是解析不出来的,那些奇怪的包我还以为是我的程序有错误,特意把包的地址放在了数据库字段中,经查阅确实...
在Ubuntu中使用pycap和dpkt进行抓包和解包
qq_36522728的博客
04-02 2211
本意是做一个通过抓包来获取项目中接口数据,自动整理成接口文档的工具。 步骤: 1.在Ubuntu中安装好pypcap sudo apt-get install python-pypcap 2.安装好dpkt包 pip install dpkt 或自行下载后安装https://pypi.python.org/pypi/dpkt/ 3.代码...
DPKT - python3 无法解码错误
围城
09-14 1027
20200914 - Traceback (most recent call last): File "convert.py", line 49, in <module> main() File "convert.py", line 12, in main pcapin = dpkt.pcap.Reader(fin) File "/usr/local/lib/python3.6/site-packages/dpkt/pcap.py", line 280, in __i
dpkt包官方文档解析汉化----HTTP Request Example(tcp层[tcp.data携带者http头部请求等信息]
weixin_43989385的博客
09-17 3302
dpkt包官方文档解析汉化----HTTP Request Example(tcp层[tcp.data携带者http头部请求等信息] Print HTTP Requests Example (打印HTTP请求示例) This example expands on the print_packets example. It checks for HTTP request headers and di...
python dpkt SSL 流tcp payload(从三次握手开始到application data)和证书提取
djph26741的博客
03-15 1643
# coding: utf-8 #!/usr/bin/env python from __future__ import absolute_import from __future__ import print_function import traceback import argparse import ipaddress from binascii im...
python3中利用dpkt模块解析dns域名时报错
Alont的博客
07-22 1490
最近在做python的解析pcap包,但是在用dpkt.dns.DNS解析域名时有的正常解析出来了,有的却解析失败。。 这是解析dns域名的代码: 这是解析成功后打印出来的域名: 这是报错的信息: 有点崩溃。。百度过问题,但是我未解决。。 这是源码: #!/usr/bin/python # -*- coding: utf-8 -* import dpkt import t...
案例精选 | 某知名教育集团基于安全运营平台的全域威胁溯源实践
最新发布
juminfo的博客
11-18 410
某知名教育集团成立于1999年,总部位于北京海淀中关村。集团专注于K-12基础教育,构建了从幼儿园到高中的全面教育体系,涵盖学校管理、教学科研、师资培训、信息化服务等多个方面。集团在全国范围内设有15所小学、12所初中、9所高中、6个国际部、2个大学预科项目和近30所幼儿园,拥有在校学生5万余人,现已发展成为中国领先的民办基础教育机构之一。近年来,在“互联网+教育”国家战略的指引下,该集团积极响应,将信息技术深度嵌入教育教学过程,构建了高效的教学质量监控云平台和先进的教学信息化系统。
等保二级需要哪些安全设备?
bocco的博客
11-15 556
同时,还应加强安全管理措施的实施,提高员工的安全意识和能力,共同维护企业的信息安全。这些设备能够实时监测机房内的温湿度、漏水情况,一旦超出预设范围,便会自动报警,及时采取措施,确保服务器在适宜的环境中稳定运行。1. 防火墙:防火墙是网络安全的第一道屏障,能够控制进出网络的数据包,防止未经授权的访问和恶意攻击。在等保二级中,应部署下一代防火墙,其不仅具备传统防火墙的功能,还集成了入侵防御、防病毒等功能,能够更有效地保护服务器的安全。通过部署日志审计系统,可以及时发现并处理网络中的异常行为,提高网络的安全性。
JWT深度解析:Java Web中的安全传输与身份验证
2401_85760095的博客
11-14 627
JSON Web Token(JWT)是一种轻量级的身份验证和授权标准,它允许在各方之间安全地传输信息。JWT作为一种安全传输信息和身份验证的解决方案,在Java Web开发中扮演着重要角色。它通过紧凑、自包含的方式传输用户信息,同时支持无状态和跨域认证,使得JWT成为现代Web应用中不可或缺的一部分。JWT是一种紧凑的、URL安全的令牌,用于在各方之间安全地传输信息。JWT的结构允许其轻松地在不同的系统之间传输,并且能被携带在URL的参数中,同时也支持在POST请求体中作为表单数据发送。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值