流量嗅探详解

 

 

不少人存在这样的观点：只要计算机安装各种专业的安全软件，系统及时更 新补丁，密码尽可能复杂，那么计算机就会避免遭到入侵。当然这样的确不容易 被入侵，但那也只是针对传统的病毒、木马而言，在流量攻击面前，这些防护就 会显得无能为力。无论如何，当你与其他设备进行通信时就会产生流量，当这些 流量脱离了你的计算机后，其安全就不能得到有效的保障，然而这些流量中却包 含着你的敏感数据，攻击者完全可以在不入侵你计算机的情况下获得你的敏感数 据，这个过程叫流量嗅探。

 

 

 

 

 

 

9.1.1    工作原理

 

互联网中的流量都是以数据包的形式传送的，流量嗅探是对数据包中的流量 进行数据分析的一种手段。通过网络嗅探工具可以捕获到目标计算机网络的数据 包，数据包中的数据是根据所采用协议的要求来组织的，只要能够掌握协议的格 式，就能够分析出这些数据所表示的意义。

图9-1    HTTP数据包

互联网中的大部分数据都没有采用加密的方式进行传输。例如，我们经常接  触的HTTP 、FTP 、Telnet等协议所传输的数据都是明文传输的，如图9-1～图9-3所 示。这也就意味着，一旦攻击者捕获了数据包，并用协议分析软件对数据包进行  分析，那么就可以截获这些数据。

图9-2    FTP数据包

图9-3    TELNET数据包

 

 

 

 

 

早期的局域网（LAN）是由集线器（HUB）构建的。因为HUB不具备交换机 的MAC地址表，所以它用广播的方式来发送数据。也就是说，HUB发送的数据， 局域网内的每台计算机都是能接收到的。如果把网络接口设置成“混杂”模式，就 可以实现不管是不是我的数据，我照单全收的情况，从而可以窃取到他人的流量 数据。

交换机的出现逐渐淘汰了HUB 。交换机会绑定MAC地址和接口，数据包最终 只发往一个终端主机，不会出现HUB的广播式方法数据。如果事先配置MAC地址 与对应的接口，理论上非常安全。但是很多人为了偷懒，直接使用了设备默认的 模式“ 自动学习” ，使得交换机成了非常容易被欺骗的对象。攻击者只要伪造一个  源MAC地址数据包，就能将这个地址的流量关联到自己的接口上，以此获得他人 的流量数据。

 

 

 

 

 

 

9.1.2    工具编写

 

9.1.1节我们介绍了流量嗅探的原理，本节我们使用Scapy模块来编写一个流量 嗅探工具来嗅探本机网卡上的流量。本次工具的编写需要使用到Scapy中的

sniff（） 函数，该函数提供了多个参数，下面我们先了解其中几个比较重要的参 数的含义：

·iface：指定在哪个网络接口上抓包。

·count：表示要捕获数据包的数量。默认值为0 ，表示不限制数量。

·filter：流量的过滤规则。使用的是BPF（Berkeley Packet Filter ，柏克莱封包 过滤器）的语法。

·prn：定义回调函数，通常使用lambda表达式来写回调函数。当符合filter的 流量被捕获时，就会执行回调函数。

其中filter是最常用的参数。因为如果直接使用sniff（） 函数，会捕获到大量 的流量数据，如果不进行过滤，我们很难从里面找到需要的数据库。filter采用的 是BPF ，利用它来匹配符合我们要求的流量并进行捕获。

BPF的过滤规则（表达式）由一个或多个原语组成。每个原语通常由一个标 识（ID 、名称或数字）和一个或多个限定词组成。

表达式主要有以下三种限定词：

·Type：类型限定词，指明ID或数字所代表的含义，例如host 、net和port等， 若不指定，则默认为host。

·Dir ：方向限定词，指明数据包的传输方向，例如src 、dst 、src 、dst等。

·Proto：协议限定词，限定所要匹配的协议，例如tcp 、udp 、ip 、arp等。

表达式还可以使用逻辑运算符对原语进行组合，从而创建出更高级的表达 式，逻辑运算符主要有以下三种：

·&&：连接运算符。

· ||：选择运算符。

· ! ：否定运算符。

下面举几个常见用例，帮助读者理解BPF语法：

 

 

 

 

· 只捕获与网络中某一IP的主机进行交互的流量：host 192.168.10.1。

· 只捕获与网络中某一MAC地址的主机的交互流量：ether src host 00：88： ca：86：f8：od。

· 只捕获来源于网络中某一IP的主机流量：src host 192.168.10.1。 · 只捕获去往网站中某一IP的主机的流量：dst host 192.168.10.1。

· 只捕获80端口的流量：port 80。

· 只捕获除80端口以外的其他端口的流量：！port 80。

· 只捕获ICMP流量：ICMP。

·只捕获源地址为192.168.10.1且目的端口为80的流量：src host 192.168.10.1&&dst port 80。

下面使用sniff（） 来进行数据包的捕获。例如，我们捕获目的地址为 112.80.248.76的流量，如下所示：

这时Scapy就已经在开始捕获符合filter表达式的数据包，但是这个时候捕获到 数据是不会实时显示出来的，只有取消捕获时才会出现结果，如下所示：

如果想要实时显示捕获到的数据包，就要加上prn选项，这里prn的内容我们 用lambda表达式来编写，具体内容为prn=lambda x：x.summary（） ，如下所示：

 

 

 

 

也可以进一步细化打印的内容。我们更改一下lambda表达式，让sniff（） 打 印出源IP和目的IP ，如下所示：

如果需要更翔实的输出，则会需要更多的代码，那么sniff（） 语句整体就会 很冗长。我们可以定义一个回调函数，然后让prn调用即可。定义一个

CallBack（） 函数，代码如下：

U

def CallBack(packet) :

# 打印源地址和目标地址

print("Source:%s--->Target :%s"%(packet[IP] .src,packet[IP] .dst))

# 打印TTL值

print("TTL:%s"%packet[IP] .ttl)

# 使用内置函数show()打印数据包的内容

print(packet.show())

效果如下所示：

 

 

 

 

除了显示这些数据包，我们还可以将这些数据包保存，用专业的工具查看、 分析这些数据包。保存数据包的格式有很多种， 目前最为通用的格式为pcap 。可 以借助wrpcap（） 函数进行数据包的保存：

 

packet=sniff(filter="dst packet)

112.80.248.76",

count=4)wrpcap("ms08067 .pcap",

同样，我们先通过sniff（）进行捕获数据包，同时我们在增加一个count选  项，表明我们需要捕获数据包的数量，当捕获到规定数量的数据包时，sniff就停 止捕获。如下所示：

然后可以调用Wireshark来查看这些数据包

 

接下来，我们编写一个网络嗅探工具，根据用户传入的IP地址、数据包总数 来捕获相应的数据包，并保存为pcap格式。具体步骤如下：

1）导入相关模块并编写回调的打印函数，函数会打印输出源IP 、源端口、 目 标IP 、 目的端口以及整个数据包的信息。

2）编写一个时间戳转换函数，根据数据包内的时间戳进行转换输出，标明 该数据包的时间：

 

#!/usr/bin/python3 # -*- coding: utf-8 -*- from scapy .all import * import time import optparse   # 回调打印函数 def PackCallBack(packet) : print("*"*30) # 打印源IP、源端口、 目的IP、 目的端口 print("[%s]Source:%s:%s--->Target :%s:%s"%(TimeStamp2Time(packet.time), packet[IP] .src,packet.sport,packet[IP] .dst,packet.dport)) # print("[%s]Source:%s:%s--->Target :%s:%s"%(packet.time, packet[IP] . src, 4444, packet[IP] .dst, 5555)) # 打印输出数据包 print(packet.show()) print("*"*30) # 时间戳转换函数 def TimeStamp2Time(timeStamp) : timeTmp = time .localtime(timeStamp) myTime = time .strftime("%Y-%m-%d %H:%M:%S", timeTmp) return myTime

3）编写main 函数，进行参数的定义以及流量数据的保存：

if __name__ == '__main__ ' : parser = optparse .OptionParser("Example:python %prog -i 127 .0 .0 .1 -c 5 -o ms08067 .pcap\n") #添加IP参数 -i parser .add_option( '-i ', '--IP ', dest= 'host IP ', default="127.0.0.1", type= 'string ', help= 'IP address [default = 127 .0 .0 .1] ') #添加数据包总数参数-c parser .add_option( '-c ', '--count ', dest= 'packetCount ', default=5, type= 'in t ', help= 'Packet count [default = 5] ') #添加保存文件名参数-o parser .add_option( '-o ', '--output ', dest= 'fileName ', default="ms08067 .pcap", type= 'string ', help= 'save filename [default = ms08067 .pcap] ') (options, args) = parser .parse_args() def Filter = "dst " + options .host IP packets = sniff(filter=def Filter, prn=PackCallBack, count=options . packetCount) # 保存输出文件 wrpcap(options .fileName, packets)

 

 

 

 

 

监听网络接口需要root权限，普通用户需要在命令前加上sudo ，否则会出现 错误，如下所示：

开启两个终端，一个终端进行监听，另一个终端使用curl命令，如下所示：

抓包效果如下所示：

此时， 目录下会多出一个ms08067.pcap文件，我们用Wireshark打开查看，如 图9-5所示。

 

 

 

 

 

图9-5    用Wireshark查看数据包