Python 使用Scapy解析TTL值

已于 2023-06-28 12:59:05 修改
阅读量5k 收藏
点赞数
分类专栏: 《Python 编程技术实践》 文章标签: python scapy TTL 路由追踪 Ping实现 信息安全 黑客编程
于 2022-10-06 18:44:55 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lyshark_csdn/article/details/127186245
版权

TTL 由8比特组成,可以用来确定在到达目的地之前数据包经过了几跳,当计算机发送一个IP数据包时会设置TTL字段为数据包在到达目的地之前所应经过的中继跳转的上限值,数据包每经过一个路由设备,TTL值就自减一,若减至0还未到目的地,路由器会丢弃该数据包以防止无限路由循环。

Nmap进行伪装扫描时,伪造数据包的TTL值是没有经过计算的,因而可以利用TTL值来分析所有来自Nmap扫描的数据包,对于每个被记录为Nmap扫描的源地址,发送一个ICMP数据包来确定源地址与目标机器之间隔了几跳,从而来辨别真正的扫描源。

Nmap的-D参数实现伪造源地址扫描nmap 192.168.220.128 -D 8.8.8.8

使用Scapy库来获取源地址IP及其TTL值,代码如下。

#coding=utf-8
from scapy.all import *
from IPy import IP as PYIP

# 检查数据包的IP层,提取出IP和TTL字段的值
def Get_TTL(pkt):
    try:
        if pkt.haslayer(IP):
            ip_src = pkt.getlayer(IP).src
            ip_sport = pkt.getlayer(IP).sport
            ip_dst = pkt.getlayer(IP).dst
            ip_dport = pkt.getlayer(IP).dport
            ip_ttl = str(pkt.ttl)
            print("[+] 源地址: %15s:%-5s --> 目标地址: %15s:%-5s --> TTL: %-5s"%(ip_src,ip_sport,ip_dst,ip_dport,ip_ttl))
    except Exception:
        pass

if __name__=="__main__":
    sniff(prn=Get_TTL,store=0)

运行脚本监听,启动Nmap伪造源地址扫描即可看到结果:

接着添加checkTTL()函数,主要实现对比TTL值进行源地址真伪判断:

#!/usr/bin/python
from scapy.all import *
import time
import optparse
from IPy import IP as IPTEST

ttlValues = {}
THRESH = 5

# 检查数据包的IP层,提取出源IP和TTL字段的值
def testTTL(pkt):
    try:
        if pkt.haslayer(IP):
            ipsrc = pkt.getlayer(IP).src
            ttl = str(pkt.ttl)
            checkTTL(ipsrc, ttl)
    except:
        pass

def checkTTL(ipsrc, ttl):
    # 判断是否是内网私有地址
    if IPTEST(ipsrc).iptype() == 'PRIVATE':
        return

    # 判断是否出现过该源地址,若没有则构建一个发往源地址的ICMP包,并记录回应数据包中的TTL值
    if not ttlValues.has_key(ipsrc):
        pkt = sr1(IP(dst=ipsrc) / ICMP(), retry=0, timeout=1, verbose=0)
        ttlValues[ipsrc] = pkt.ttl

    # 若两个TTL值之差大于阈值,则认为是伪造的源地址
    if abs(int(ttl) - int(ttlValues[ipsrc])) > THRESH:
        print('\n[!] Detected Possible Spoofed Packet From: ' + ipsrc)
        print('[!] TTL: ' + ttl + ', Actual TTL: ' + str(ttlValues[ipsrc]))

if __name__ == '__main__':
    parser = optparse.OptionParser("[*]Usage python spoofDetect.py -i <interface> -t <thresh>")
    parser.add_option('-i', dest='iface', type='string', help='specify network interface')
    parser.add_option('-t', dest='thresh', type='int', help='specify threshold count ')
    (options, args) = parser.parse_args()
    if options.iface == None:
        conf.iface = 'eth0'
    else:
        conf.iface = options.iface
    if options.thresh != None:
        THRESH = options.thresh
    else:
        THRESH = 5
    sniff(prn=testTTL, store=0)
微软技术分享
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
pythonScapy解析TTL字段的
zhangzhechun的专栏
03-01 387
在这个示例中,我们使用Scapy的sniff函数来捕获网络数据包。filter参数用于指定捕获的数据包类型,这里我们只捕获ICMP数据包。在回调函数中,我们首先判断数据包是否包含ICMP层,然后获取其TTL字段的,并将其打印出来。得注意的是,由于TTL字段在IP层中定义,因此如果我们要解析IP数据包的TTL字段,需要使用packet[IP].ttl来获取其。类似地,如果要解析TCP或UDP数据包的某些字段,可以使用packet[TCP].字段名或packet[UDP].字段名来获取其
python通过scapy获取局域网所有主机mac地址示例
12-25
python通过scapy获取局域网所有主机mac地址复制代码 代码如下:#!/usr/bin/env python# -*- coding: utf-8 -*-from scapy.all import srp,Ether,ARP,confipscan=’192.168.1.1/24′try:    ans,unans = srp(Ether(dst=”FF:FF:FF:FF:FF:FF”)/ARP(pdst=ipscan),timeout=2,verbose=False)except Exception,e:    print str(e)else:    for snd,rcv in a
scapy 解析pcap数据包笔记
abc
04-16 5768
scapy 解析pcap数据包笔记 1 from scapy.all import * def analyzePcap(filepath): s1 = PcapReader(filepath) # data 是以太网 数据包 data = s1.read_packet() ip_packet = data.payload icmp_packet = ip_packet.payload payload = icmp_packet.payload
python 网络数据包处理和嗅探工具Scapy 学习笔记(一)
meanong的博客
12-30 9637
Scapy 学习笔记(一) 本文主要是关于scapy的安装和scapy存在的内存泄露导致内存爆掉的解决方案,关于如何操纵数据包请看另一篇博客: https://blog.csdn.net/meanong/article/details/53942671 Scapy 学习笔记(一) scapy在windows中安装教程 关于rdpcap方法中的内存泄露问题 解决方法 ...
python解析http数据包_如何在python中嗅探HTTP数据包?
weixin_39603613的博客
12-03 200
I want to sniff all the HTTP packets in my computer via python(version2.6.. is this possible? can I do it with scapy, or without other external modules?解决方案Scrapy is only for extracting data from webp...
Python基于Scapy的抓包协议分析器
dangdanding的专栏
04-11 2498
scapy 可以使用那些协议 - CSDN 原理:模仿wireshark ,利用pythonscapy模块下的sniff()函数进行数据的抓取,并进行所谓的“消费者处理”即跟据OSI网络协议模型进行协议分析 。将整个程序精简的概括得到最关键的一句代码: sniff(prn=lambda pkt: packet_consumer(pkt), stop_filter=lambda pkt: stop_sniff_event.is_set(), filter=fitler_entr
python|使用Scapy分析流量包
S4n_v1的博客
05-11 2570
抓包分析其中 ICMP 包的数量与比例。
Python使用scapy和dpkt抓包并解析
培根芝士的专栏
10-24 7198
scapypython中一个可用于网络嗅探的非常强大的第三方库,可以用它来做 packet 嗅探和伪造 packet。dpkt读取每个pcap包里的内容,用isinstance判断是不是有IP的包,再判断是属于哪个协议,对应的协议已经封装好API如果发现可以匹配某个协议API就输出来相关。dpkt是一个python模块,可以对简单的数据包创建/解析,以及基本TCP / IP协议的解析,速度很快。ls(IP) 命令列出ip协议头部字段格式,只要想查看哪个协议的参数,括号里就填哪个协议。
CENTOS上的网络安全工具(八)Scapy协议解析
lhyzws的专栏
08-10 3087
以DNS为例,简述基于scapy解析pcap文件,提取协议元数据,并在pymysql和pandas配合下,使用mysql进行数据管理和检索使用的方法。
Scapy:DNS数据包详解
m0_71713477的博客
01-14 2885
Scapy中DNS数据包详解(DNS协议,DNS包参数)
利用PythonScapy解析pcap文件的方法
09-19
今天小编就为大家分享一篇利用PythonScapy解析pcap文件的方法,具有很好的参考价,希望对大家有所帮助。一起跟随小编过来看看吧
python使用scapy修改替换pcap的payload
01-21
python使用scapy修改替换pcap的payload 例如替换http get请求的内容,替换tcp负载内容
利用python+scapy抓取DNS数据包
06-04
程序只会抓取DNS数据包。不会去抓取其他类型的数据包!
Python基于scapy实现修改IP发送请求的方法示例
01-20
本文实例讲述了Python基于scapy实现修改IP发送请求的方法。分享给大家供大家参考,具体如下: 今天同事想测试WAF的页面统计功能,所以需要模拟多个IP向多个域名发送请求,也就是需要修改源IP地址。这个如果使用...
python学习笔记----循环语句(四)
最新发布
取个名字太难了a的博客
04-28 900
随机数种子在生成随机数的过程中起到一个非常重要的作用。它是用于初始化随机数生成算法(伪随机数生成器)的初始。随机数种子的作用可重复性:当你使用特定的种子初始化随机数生成器时,即使在不同的运行环境或不同时间,生成的随机数序列都将是相同的。这对于调试和测试非常重要,因为它允许程序的行为在使用随机数时保持一致。控制随机性:种子提供了一种方法来控制随机数生成过程。通过改变种子,你可以获得不同的随机数序列,这对于模拟和其他需要随机输入的应用非常有用。
Day25-Java基础之常用类1
m0_46053885的博客
04-27 956
同时我们发现Math类中的方法都是静态的,因此在使用的时候我们可以直接通过类名去调用。对于计算机而言,其实是没有数据类型的概念的,都是0101010101,数据类型是编程语言自己规定的,所以在实际存储的时候,先把具体的数字变成二进制,每32个bit为一组,存储在数组中。比较内存地址一般情况下是没有意义的,我们希望比较的是对象的属性,如果两个对象的属性相同,我们认为就是同一个对象;如果我们的数据是一个浮点类型的数据,有的时候计算机并不会将这个数据完全转换成一个二进制数据,而是将这个将其转换成一个无限的。
python基础知识
2301_77724654的博客
04-28 365
基本输入input(),若要输出整数或小数,可用int(),float()函数进行数据类型转换。缩进:Python使用缩进表示代码块,连续的具有相同缩进的多条语句为一个代码块,语句末尾为代码块的开头,同一个代码块要有相同的缩进。1 在Python3中,print()函数取代了Python2中的print语句。2 Python中程序文件运行方式为程序文件运行,交互式运行两种。赋语句,简单赋与序列赋等,序列赋可一次为多个变量赋。注释:单行注释用#,多行注释用'''或'''''''
PySide6 GUI 学习笔记——使用资源文件
Humbunklung的专栏
04-27 576
在界面开发中,我们常常将一些图片、图标等资源统一存放到资源文件中供使用,从而让图形界面表达能力更好,更加丰富,譬如带图标的按钮、菜单、窗口等等。PySide6可以将多个图标、图片等资源文件编译到.py文件中,这样可以被我们的程序直接调用,使得资源的管理更加方便。
笔记:Python 注释(练习题)
欢迎来到我的CSDN博客!在这里,我将分享关于技术、学习和生活的各种笔记和心得体会。无论你是正在学习编程、探索新技术,还是对生活中的点滴有所感悟,我都希望我的博客能够给你带来启发和帮助。
04-27 892
欢迎来到Python注释练习!在这个练习中,我们将探讨Python中注释的重要性和使用方法。注释在代码中扮演着关键的角色,不仅可以提高代码的可读性,还可以帮助其他人理解你的代码逻辑。通过这些练习,你将学习如何正确地编写注释,以及如何使用注释来解释代码的功能、逻辑和设计。无论你是新手还是有经验的Python开发人员,都可以从这些练习中受益。通过实践,你将更加熟悉Python注释的最佳实践,并且能够将其应用到自己的项目中。让我们开始吧!
python scapy 解析 pcap
12-16
以下是使用Python Scapy解析pcap文件的方法: ```python from scapy.all import * # 读取pcap文件 pkts = rdpcap('test.pcap') # 访问第n个包 pkt = pkts[n] # 循环读取每个包 for pkt in pkts: # 对每个包进行处理 ... ``` 使用Scapy库,我们可以轻松地读取pcap文件并访问其中的数据包。可以使用rdpcap()方法读取pcap文件,然后使用列表索引访问每个数据包。我们还可以使用循环来遍历所有数据包,并对每个数据包进行处理。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值