【Scapy】获取流量包【原创】

最新推荐文章于 2023-01-07 16:23:11 发布
置顶 VIP文章 最新推荐文章于 2023-01-07 16:23:11 发布
阅读量5.5k 收藏 48
点赞数 6
分类专栏: Python 文章标签: python 网络 scapy 流量 嗅探
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jiandanokok/article/details/109548511
版权

Scapy 获取流量包


0x00 参考

Scapy官方文档

Gitgub地址

Scapy中文文档(第三方)

python之用scapy分层解析pcap报文

使用python中的scapy库抓取并解析pcap包(五元组信息)


0x01 前言

由于云厂商的链路监控做得实在是不咋地,所以我们决定自己实现一套网络链路监控系统。

目的效果:客户端安装agent,实时采集流量数据并且进行上报给服务器端,不管是HTTP、HTTPS、MySQL,以及底层的TCP、UDP,甚至是链路层的,都需要实时采集并上报。

由于我们团队使用Python的居多,所以第一版以Python为开发语言进行开发。一番调研之下,客户端的agent决定使用Scapy来进行流量的获取


0x02 概述

Scapy是一个强大的,用Python编写的交互式数据包处理程序,它能让用户发送、嗅探、解析,以及伪造网络报文,从而用来侦测、扫描和向网络发动攻击。Scapy可以轻松地处理扫描(scanning)、路由跟踪(tracerouting)、探测(probing)、单元测试(unit tests)、攻击(attacks)和发现网络(network discorvery)之类的传统任务。

它可以代替hping,arpspoof,arp-sk,arping,p0f 甚至是部分的Nmap,tcpdump和tshark 的功能。

支持很多协议,比如ARP,BOOTP,Dot1Q,DHCP,DNS,GRE,HSRP,ICMP,IP, NTP,RIP,SNMP,STP,PPPoE,TCP,TFTP,UDP等,可以通过ls()查看支持的协议

简单的说,Scapy主要做两件事:发送报文和接收回应。


0x03 安装

由于Scapy是Python的模块,所以可以使用pip进行安装

pip install scapy

注意:由于Scapy需要root权限才能发送数据包,所以建议使用root用户进行安装

安装完成可以直接在命令行中输入scapy测试是否安装成功:

>scapy
INFO: Can't import matplotlib. Won't be able to plot.
INFO: Can't import PyX. Won't be able to use psdump() or pdfdump().
WARNING: No libpcap provider available ! pcap won't be used
WARNING: No default IPv4 routes found. Your Windows release may no be supported and you have to enter your routes manually
INFO: No IPv6 support in kernel
INFO: Can't import python-cryptography v1.7+. Disabled WEP decryption/encryption. (Dot11)
INFO: Can't import python-cryptography v1.7+. Disabled IPsec encryption/authentication.
WARNING: IPython not available. Using standard Python shell instead.
AutoCompletion, History are disabled.
WARNING: On Windows, colors are also disabled

                     aSPY//YASa
             apyyyyCY//YCa       |
            sY//YSpcs  scpCY//Pp     | Welcome to Scapy
 ayp ayyyyyyySCP//Pp           syY//C    | Version 2.4.4
 AYAsAYYYYYYYY///Ps              cY//S   |
         pCCCCY//p          cSSps y//Y   | https://github.com/secdev/scapy
         SPPPP///a          pP///AC//Y   |
              A//A            cyPC   | Have fun!
              p///Ac            sC///a   |
              PYCpc           A//A   | To craft a packet, you have to be a
       scccccp///pSP///p          p//Y   | packet, and learn how to swim in
      sY/y  caa           S//P   | the wires and in the waves.
       cayCyayP//Ya              pY/Ya   |        -- Jean-Claude Van Damme
        sY/PsYYCc          aC//Yp    |
         sc  sccaCY//PCypaapyCP//YSs
                  spCPY//YPSps
                       ccaacs

注意:如果没有安装所有的可选包,Scapy会显示有些功能不能用,如:

INFO: Can't import matplotlib. Won't be able to plot.
INFO: Can't import PyX. Won't be able to use psdump() or pdfdump().
WARNING: No libpcap provider available ! pcap won't be used
WARNING: No default IPv4 routes found. Your Windows release may no be supported and you have to enter your routes manually
INFO: No IPv6 support in kernel
INFO: Can't import python-cryptography v1.7+. Disabled WEP decryption/encryption. (Dot11)
INFO: Can't import python-cryptography v1.7+. Disabled IPsec encryption/authentication.

具体可参考:https://scapy.readthedocs.io/en/latest/installation.html#optional-dependencies

注意:Windows平台需要安装Winpcap才能进行嗅探sniff


0x04 使用

1. ls()

进入scapy后,可用ls()来查看scapy支持的网络协议(由于输出内容太长,只截取部分以供参考)
image-20201107013001082
可以看到耳熟能详的ARP,BOOTP,Dot1Q,DHCP,DNS,GRE,HSRP,ICMP,IP,NTP,RIP,SNMP,STP,PPPoE,TCP,TFTP,UDP等等都支持

注意:这里可以带参考,比如ls(IP)来查看IP包的各种默认参数
image-20201107013402457

2. lsc()

进入scapy后,可以用lsc()来查看scapy的函数集。

比较常用的函数有:

  • arpcachepoison(用于arp毒化攻击,也叫arp欺骗攻击)
  • arping(用于构造一个ARP的who-has包)
  • send (用于发3层报文)
  • sendp(用于发2层报文)
  • sniff(用于网络嗅探,类似Wireshark和tcpdump)
  • sr(发送+接收3层报文)
  • srp(发送+接收2层报文)

比如:(由于输出内容太长,只截取部分以供参考)
image-20201107104930877

3. 嗅探流量

嗅探流量的数据包有两种方式:

  • sniff实时抓包
  • 读取pcap文件

sniff函数如下:

def sniff(count=0, store=1, offline=None, prn=None,filter=None, L2socket=None, timeout=None, opened_socket=None, stop_filter=None, iface=None,*args,**kargs)

参数含义:

  • count:抓包的数量,0表示无限制,如无限制会一直抓取
  • store:保存抓取的数据包到内存或者丢弃,1:保存,0:丢弃
  • offline:从 pcap 文件读取数据包,而不进行嗅探,默认为None
  • prn:为每一个数据包定义一个回调函数,例如:prn = lambda x: x.summary(); ( packct.summar()函数返回的是对包的统计性信息 ),则抓取到每个包之后进行显示统计信息
  • filter:过滤规则,bpf过滤器,可参考:BPF语法,比如filter=‘udp’、filter=‘tcp and ( port 80 or port 443)’、filter="( ip and dst 8.8.8.8) "
  • L2socket:使用给定的 L2socket
  • timeout:在给定的时间后停止嗅探,默认为 None,如果为0或不设置则会一直抓取,如果为3则是抓取此时到3秒之间的流量
  • opened_socket:对指定的对象使用 .recv() 进行读取;
  • stop_filter:定义一个函数,决定在抓到指定数据包后停止抓包,如:stop_filter = lambda x: x.haslayer(TCP);
  • iface:指定抓包的接口,一般服务器的默认网卡是eth0,如果没有指定interface,则会在所有的interface上面进行嗅探

注意:如果不设置count和timeout的话,那么sniff会卡在那里一直运行着,sniff后面的代码是不会运行的,一般是会配合prn回调函数,且store建议设置为0,不保存到内存


保存成pcap

wrpcap('xxx.pcap', package)

读取pcap

rdpcap('xxx.pcap')

比如:

>>> from scapy.all import *
>>> packets = sniff(count=1)  # 获取一个流量数据包
>>> wrpcap('test.pcpp', packets)  # 保存成pcap
>>> pcap_packets = rdpcap('test.pcap')  # 读取pcap文件
>>> pcap_packets
<test.pacp: TCP:1 UDP:0 ICMP:0 Other:0>
>>> pcap_packets[0]
<Ether  dst=50:d2:f5:fd:85:e2 src=d4:6d:6d:1c:93:50 type=IPv4 |<IP  version=4 ihl=5 tos=0x0 len=41 id=17191 fla
gs=DF frag=0 ttl=64 proto=tcp chksum=0x574f src=192.168.31.179 dst=14.215.177.38 |<TCP  sport=2894 dport=https
seq=622811909 ack=621991385 dataofs=5 reserved=0 flags=A window=510 chksum=0x8563 urgptr=0 |<Raw  load='\x00' |
>>> pcap_packets[0].src
'd4:6d:6d:1c:93:50'
>>> pcap_packets[0].dst
'50:d2:f5:fd:85:e2'
>>> pcap_packets[0].show()
###[ Ethernet ]### 
  dst       = 50:d2:f5:fd:85:e2
  src       = d4:6d:6d:1c:93:50
  type      = IPv4
###[ IP ]###
     version   = 4
     ihl       = 5
     tos       = 0x0
     len       = 41
     id        = 17191
     flags     = DF
     frag      = 0
     ttl       = 64
     proto     = tcp
     chksum    = 0x574f
     src       = 192.168.31.179
     dst       = 14.215.177.38
     \options   \
###[ TCP ]###
        sport     = 2894
        dport     = https
        seq       = 622811909
        ack       = 621991385
        dataofs   = 5
        reserved  = 0
        flags     = A
        window    = 510
        chksum    = 0x8563
        urgptr    = 0
        options   = []
###[ Raw ]###
           load      = '\x00'

package[0]是查看第一个数据包的数据,package[0].show()是查看第一个数据包的详细信息

scapy是按照按照 TCP/IP 四层参考模型显示详细包信息的,即:链路层 [Ethernet]、网络层[IP]、传输层[TCP/UDP]、应用层[RAW]

通过上述输出结果,我们可以看出每个层的数据包有哪些属性可以取出。

这里P代表的是Ethernet层。P.dst (取出dst属性)、P.src (取出src属性)、P.type (取出type属性)
每一层都有一个 payload 属性,可以不断进入下一层。

p.payload:IP层(可用 p.payload.* 取出IP层的属性)
p.payload.payload:TCP/UDP层(可用 p.payload.payload.* 取出TCP/UDP层的属性)
p.payload.payload.payload:RAW层(可用 p.payload.payload.payload.* 取出RAW层的属性)

上面显示的是TCP的请求,下面的UDP的请求:

###[ Ethernet ]### 
  dst       = 14:43:d0:65:ae:a2
  src       = 88:b8:5d:bd:0d:7f
  type      = IPv4
###[ IP ]### 
     version   = 4
     ihl       = 5
     tos       = 0x0
     len       = 40
     id        = 28350
     flags     = 
     frag      = 0
     ttl       = 128
     proto     = udp
     chksum    = 0x0
     src       = 192.168.1.56
     dst       = 192.144.236.192
     \options   \
###[ UDP ]### 
        sport     = 59297
        dport     = ms_wbt_server
        len       = 20
        chksum    = 0x6f27
###[ Raw ]### 
           load      = '\xae;\xf8\x01\x04\x00\x04\x04\x00\x01\x07\x00'

4. 发送数据包

发送数据包之前需要构建数据包

构建数据包

比如使用IP()就可以创建默认的数据包,也可以使用TCP()创建TCP包、使用UDP()创建UDP包等,具体可以通过ls()查看,使用 ls(IP()) 可以查看IP数据包可以有哪些参数

比如:

>>> ip_package = IP(dst='8.8.8.8')  # 创建目的地址是8.8.8.8的数据包
>>> ip_package.show()  # 查看数据包的信息
###[ IP ]###
  version   = 4
  ihl       = None
  tos       = 0x0
  len       = None
  id        = 1
  flags     =
  frag      = 0
  ttl       = 64
  proto     = ip
  chksum    = None
  src       = 192.168.31.179
  dst       = 8.8.8.8
  \options   \
>>> ip_package.summary()  # 查看数据包的概要信息
'192.168.31.179 > 8.8.8.8 ip'

可以使用 ‘/’ 操作符来给数据包加上一层。比如构造一个TCP数据包,在IP层指明数据包的目的地址。在TCP层可以设定数据包的目的端口等等。UDP数据包同理

比如:

>>> ip_package = IP(dst='8.8.8.8')/TCP(dport=(53)) # 创建目的地址是8.8.8.8的数据包,目的端口为53
>>> ip_package.show()
###[ IP ]###
  version   = 4
  ihl       = None
  tos       = 0x0
  len       = None
  id        = 1
  flags     =
  frag      = 0
  ttl       = 64
  proto     = tcp
  chksum    = None
  src       = 192.168.31.179
  dst       = 8.8.8.8
  \options   \
###[ TCP ]###
     sport     = ftp_data
     dport     = (80, 443)
     seq       = 0
     ack       = 0
     dataofs   = None
     reserved  = 0
     flags     = S
     window    = 8192
     chksum    = None
     urgptr    = 0
     options   = []
发送数据包

构造完数据包就可以进行发送,有以下方法:

send(pkt):发送三层数据包,但不会受到返回的结果。
sr(pkt):发送三层数据包,返回两个结果,分别是接收到响应的数据包和未收到响应的数据包。
sr1(pkt):发送三层数据包,仅仅返回接收到响应的数据包。
sendp(pkt):发送二层数据包。
srp(pkt):发送二层数据包,并等待响应。
srp1(pkt):发送第二层数据包,并返回响应的数据包

比如:

>>> ip_package = IP(dst='8.8.8.8')/TCP(dport=(53))
>>> ans, unans = sr(ip_package)
Begin emission:
Finished sending 1 packets.
........*
Received 9 packets, got 1 answers, remaining 0 packets
>>> ans
<Results: TCP:1 UDP:0 ICMP:0 Other:0>
>>> unans
<Unanswered:
最低0.47元/天 解锁文章
jiandanokok
关注
  • 6
    点赞
  • 48
    收藏
    觉得还不错? 一键收藏
  • 10
    评论
专栏目录
【Android/Linux系统编译记录】常见出错整理
wang 恒 的博客
02-27 429
文章目录1.解决/bin/sh: lz4c: 未找到命令 1.解决/bin/sh: lz4c: 未找到命令 发生于 RK3266 Android8.1 LZ4是一种压缩算法,解决方法如下: 安装lz4: apt-get update apt-get install liblz4-tool 重新编译 ok 解lz4文件: lz4 -d 文件名 ...
安装好tcpdump和libpcap后不能抓的问题!
pingD的专栏
03-09 1万+
今天写了一一个小小的客户/服务器小程序,然后想用tcpdump来抓两个看看里面是啥样的,于是乎就在自己 的fedora16使用tcpdump命令,但是提示没有安炸ungzhege软件,于是使用来以下命令来进行安装 #yum search tcpdump #yum install tcpdump 将tcpdump安装上去了,突然想起要使用tcpdump还得安装libpcap,于是使用同样的
利用scapy等模块进行流量的抓取并保存为pcap文件
08-19
利用scapy等模块进行流量的抓取并保存为pcap文件,过滤语法为BPF
scrapy配置过程遇到的问题以及解决--001
山林码农的专栏
06-15 921
这是配置完成之后遇到的一个问题,提示如下: You do not have a working installation of the service_identity module(后面省略若干)
scapy傻瓜forwindows
04-02
scapy傻瓜安装,把压缩内所有exe安装好即可完成scapy安装
python抓取数据提取五元组
最新发布
07-26
抓取数据并提取五元组是一项常见的网络数据分析任务,用于分析和理解网络通信。下面是对该过程的描述: 抓取数据:使用Python中的网络库(如Scapypcapy、dpkt等),可以监听网络接口或读取存储在文件中的网络数据。这些库提供了函数和方法来捕获和读取数据。 解析数据:对于每个捕获到的数据,需要对其进行解析以获取有用的信息。解析可以涉及解码网络协议头部(如IP头部、TCP/UDP头部)以及提取负载数据。 提取五元组:五元组是指网络通信中标识唯一连接的五个关键属性,括源IP地址、目标IP地址、源端口号、目标端口号和传输协议(如TCP或UDP)。通过解析数据网络协议头部,可以提取这些五元组信息。 存储或处理五元组:提取的五元组信息可以根据需要进行存储、分析或进一步处理。可以将其保存到数据库中,用于网络流量分析、安全监测或性能优化等。 可选操作:除了提取五元组之外,还可以对数据进行其他操作,如计算吞吐量、延迟或分析应用层协议等。这些操作可以根据需求和具体场景进行。 请注意,实际的实现方式可能会因所选择的库和工具而有所不同。在编写代码时,需要熟悉所选库的
pythonscapy库,实现网卡收发的例子
01-20
问题: 测试时 收发流采用TestCenter、SmartBit等仪表来进行。如果仍采用其进行自动化冒烟,则会带来效率低、成本高的问题。 解决方案: 采用网卡来收发流,虽然有性能统计上的缺陷,但可以验证一些基本功能,且经济。 采用scapy模块, 1-获取计算机网卡的iface,并预先设计好用哪些iface进行收发流; 2-conf.L2listen对各个iface进行监听 3-subprocess.Popen来调用tShark.exe启动抓,也可以调用ping.exe构造ping 4-sendp发送二层报文,send发送三层报文 5-sniff嗅探iface上的指定报文,可以有过滤条件
pcappy:一个纯 Python libpcap 装器!
05-31
皮卡皮 PcapPy 是一个完全用 Python 编写的 libpcapPython 装器。 这是正确的! 无需使用丑陋的装框架(如 Cython、Pyrex 或 SWIG)编译任何内容(糟糕!)。 使用 ctypes 的纯粹力量,PcapPy 会给你在夜晚温暖模糊的感觉。 安装 简单的: sudo easy_install pcappy 赢了! 例子 当然为什么不: #!/usr/bin/env python from pcappy import PcapPyOffline , open_offline from sys import argv if not argv [ 1 :]: print 'usage: %s <dump>' % argv [ 0 ] exit ( - 1 ) # Open the file p = open_offli
python代码scapy库 通过 conf 无法获取信息
kaihang_cai的博客
05-14 5988
问题,python代码scapy库 无法通过 conf 获取网卡等信息,也捕获不到数据。原因是Windows平台需要安装Winpcap才能进行嗅探,安装wireshark亦可
Python Scapy工具-sniff函数
热门推荐
ASDF的博客
07-23 1万+
Scapy 是适用于 Python 的一个快速、高层次的屏幕抓取和 web 抓取框架,用于抓取 web站点并从页面中提取结构化的数据。 Scapy可以轻松地处理扫描(Scanning)、路由跟踪(Tracerouting)、探测(Probing)、单元测试(Unit Tests)、攻击(Attacks)和发现网络(Network Discorvery)之类的传统任务。 Scapy的安装如下: 通过cmd命令:pip install scapy 进行安装 sniff函数及其参数如下: sniff(count=
libpcap进攻!(前奏)
pingD的专栏
03-05 899
这个账号已经在CSDN上注册有一段时间了,但基本上都是欣赏各位大侠的杰作。 最近自己也在慢慢的查看libpcap的相关源代码,但苦于自己还是一个在校的学生以及自己的才疏学浅,奋斗了两天还是一头雾水。实在有些想放弃的想法,毕竟在网上找相关的文章找了很久也是没有找到的。可心里多少还是有点不服输的,写下这篇文章就当是我的一个小小抱怨加上也是自己向libpcap进攻的号角吧,激励自己不要放弃,写下自己在
利用python+scapy抓取DNS数据
06-04
程序只会抓取DNS数据。不会去抓取其他类型的数据
windows 10下安装scapy以及问题解决
Amdy_amdy的博客
03-13 8776
scapy介绍 Scapy是一个Python程序,使用户能够发送,嗅探和剖析并伪造网络数据。此功能允许构建可以探测,扫描或攻击网络的工具。 换句话说,Scapy是一个功能强大的交互式数据操作程序。它能够伪造或解码大量协议的数据,通过线路发送,捕获它们,匹配请求和回复等等。Scapy可以轻松处理大多数经典任务,如扫描,跟踪路由,探测,单元测试,攻击或网络发现。它可以取代hping,arps...
JVM致命错误处理
山巅
04-21 4601
JVM致命错误处理2.分析日志文件3.顺着找到源码 #1.错误日志 省略... IDEA.app/Contents/lib/idea_rt.jar com.sx.mapi.SXMapiApplication Connected to the target VM, address: '127.0.0.1:60751', transport: 'socket' 16:39:34.634 [background-preinit] INFO o.h.v.i.util.Version - [<clinit&g
Python 使用dpkt提取五元组
努力学习
02-11 2776
这个是在实习期间做的一个小程序,用来提取的五元组。提取可以用wireshark进行保存,也可以使用师兄开发的程序Streamdump进行抓,格式为pcap 这个程序的目的是抓取五元组:目的IP,目的端口,源地址,源端口以及ServerName。也可以作其他修改,提取需要的东西。 存在一些奇怪的是解析不出来的,那些奇怪的我还以为是我的程序有错误,特意把的地址放在了数据库字段中,经查阅确实...
python scapy 网络管理工具--基础篇
Katios
06-29 9199
写在前面scapypython的一个库,提供网络协议的构造,请求等 scrapy 是python的爬虫框架。这两个差一个字母,大家还是要分清楚的。因为涉及到发等系统层面的操作,所以请保证具备root权限,这一点贯穿全文。安装博主使用的环境有 centos6、centos7、windows10直接使用pip install scapy就可以安装运行模式你可以直接在命令行敲 scapy 进入交
Pcap按相同五元组信息提取流量
weixin_45154431的博客
01-07 1586
【代码】Pcap按相同五元组信息提取流量
scapy 解析pcap数据笔记
abc
04-16 5757
scapy 解析pcap数据笔记 1 from scapy.all import * def analyzePcap(filepath): s1 = PcapReader(filepath) # data 是以太网 数据 data = s1.read_packet() ip_packet = data.payload icmp_packet = ip_packet.payload payload = icmp_packet.payload
scapy分析流量获取subdomain
04-30
Scapy是一个强大的Python网络协议分析工具。要获取流量中的子域名,您可以使用以下步骤: 1. 从pcap文件中读取数据 ```python from scapy.all import * packets = rdpcap('traffic.pcap') ``` 2. 定义一个函数来解析DNS数据,提取子域名 ```python def parse_dns_packet(packet): if packet.haslayer(DNS): dns = packet.getlayer(DNS) if dns.qdcount > 0 and isinstance(dns.qd, DNSQR): qname = dns.qd.qname.decode("utf-8") subdomain = qname.split('.')[0] return subdomain ``` 3. 对于每个数据,调用parse_dns_packet函数,提取子域名并将其添加到一个列表中 ```python subdomains = [] for packet in packets: subdomain = parse_dns_packet(packet) if subdomain: subdomains.append(subdomain) ``` 4. 打印子域名列表 ```python print(subdomains) ``` 这样,您就可以使用Scapy获取流量中的子域名了。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 10
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值