python实现——windows下批量抓包

最新推荐文章于 2024-08-26 16:15:43 发布
最新推荐文章于 2024-08-26 16:15:43 发布
阅读量6.3k 收藏 40
点赞数 5
分类专栏: python 文章标签: python tshark
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44288604/article/details/121981181
版权

目录

需求描述

最近项目支撑,需要针对各类ms漏洞、webshell、k8等工具编写防御规则,我们统一把恶意工具下载到本地,在本地开一个web服务。每针对一个工具开发一条规则,就需要捕获一个数据包,而且必须是经过过滤处理的单独的数据包。希望能有一个工具简化抓包过程。

思路1:本地开启web服务,如果是开启wireshark,然后批量爬虫的话,会得到包含多个追踪流的数据包,如果借助scapy进行拆包,要处理的异常情况太多。放弃。

思路2:使用sniffer抓包。缺陷是存在漏包,访问了某个地址之后,产生的流量没有被sniffer抓到。

思路3:使用tcpdump。缺陷是每次工作都得开个虚拟机,并且不便于移植到同事的电脑上。

思路4:使用windump,一个windows版本的tcpdump。缺陷是:我物理机下不能运行,虚拟机运行时,过滤器与保存文件的操作不能同时使用,工具的奇怪bug太多。

思路5:使用tshark实现windows下抓包,代替tcpdump 😃

实现逻辑

tshark相当于是命令行版的wireshark,不需要额外安装,在安装wireshark的时候就会安装上这个工具。那么,先开启tshark抓包,然后python爬取一个目标路径,最后tshark停止抓包,并将抓取的内容写入到电脑上。这里最大的问题是如何停止抓包,我是用的方法是设置抓包时间,让它到时间就停止。

关于tshark:

  1. tshark的位置
    请使用Everything等工具直接搜索出来。
  2. 使用tshark.exe -D命令查看电脑上有哪些网卡。
    我这里是以太网抓包,因此脚本中指定\Device\NPF_{FA29BC17-7BFC-4CE8-BB48-71174A6BDA54}即可指定抓取的网卡是以太网
    在这里插入图片描述
  3. \Device\NPF_{FA29BC17-7BFC-4CE8-BB48-71174A6BDA54}
    这串东西是接口名称,通过wireshark可以看到,如下图,点击一下“管理接口”即可看到。
    在这里插入图片描述

代码设计

我一开始设计的是windump,tshark的代码是同事做的,这里介绍的是tshark,使用中有些注意事项:
工具总共涉及到3个文件:脚本、脚本配置文件、目标url地址。
只需修改配置文件和目标url地址即可,脚本无需修改(注意安装相关库文件),可以直接运行。

  1. 填写配置文件:cfg.yaml
    指明tshark的绝对路径
    指明要抓包的网卡接口名称
    指明本机地址,充当捕获过滤器
    指明服务器,即目的地址,既用来拼接爬虫url,又用来充当捕获过滤器
# tshark 路径
tshark_path: "D:\\Program Files\\Wireshark\\tshark.exe"

# 网卡名称(tshark -D 查看网卡)
iface: r"\Device\NPF_{FA29BC17-7BFC-4CE8-BB48-71174A6BDA54}"

# 本机ip地址
localhost: "10.71.35.238"

# 服务器IP
serverIP: "10.8.144.32"

# 服务器端口
port: "8085"
  1. 填写url地址:item.txt
    下面的地址用来跟cfg.yaml中的服务器IP进行拼接
/webtrojan/web-malware-collection-13-06-2012/PHP/SyRiAn.Sh3ll.v7.txt
/webtrojan/web-malware-collection-13-06-2012/PHP/ugdevil.v2.0.txt
/webtrojan/web-malware-collection-13-06-2012/PHP/up.php
/webtrojan/web-malware-collection-13-06-2012/PHP/uploader.txt
  1. 脚本内容如下:
    要注意修改第80行的休眠时间,休眠时间过短的话,有可能抓不到包
import threading
import time
import requests
import os
import yaml
from subprocess import PIPE, Popen


# 导入配置文件
def load_cfg():
    with open('cfg.yaml', 'r', encoding='utf-8') as f:
        con = f.read()
    cfg = yaml.safe_load(con)
    # print(cfg['tshark_path'])
    return cfg


# 爬虫批量访问指定url
def request_url(url):
    url = 'http://' + url
    try:
        res = requests.get(url=url, timeout=5)
    except:
        print('failed to get' + url)
        return False
    if res.status_code == 200:
        return True
    else:
        print('访问失败,请重试:' + url)


# 使用tshark抓包
def tshark_cap(filename):
    # 提取url中最后一个斜线后面的内容作为文件名。如果文件名存在空格,就进行替换
    filename = filename.replace(' ', '_')  # 默认是一个空格,如果文件名中存在多个空格,请手动更改url或者修改代码
    filename = filename + '.pcap'  # 拼接出文件名
    file_path = 'pcaps/'  # 抓包的包放在pcaps文件夹下。pcaps是与脚本在同一路径下
    file = file_path + filename  # 拼接出文件的绝对路径
    cfg = load_cfg()
    tshark_path = cfg['tshark_path']
    tshark_path = tshark_path.strip()
    iface = cfg['iface']
    iface = iface.strip()
    localhost = cfg['localhost']
    localhost = localhost.strip()
    serverIP = cfg['serverIP']
    serverIP = serverIP.strip()
    filt = '"host ' + localhost + ' and host ' + serverIP + '"'  # 拼接出过滤器,用来过滤数据包
    command = tshark_path + ' -i ' + iface + ' -f ' + filt + ' -a duration:2 -w '  # 设定tshark抓包2秒,2秒之后自动关闭
    # command = r'"C:\\Program Files\\Wireshark\\tshark.exe" -i \Device\NPF_{144EC01C-9E64-43EC-AFA0-531860514A37} -f "host 10.71.35.157 and host 10.253.251.97" -a duration:3 -w '
    command = command + file
    # print(command)
    p = Popen(command, stdout=PIPE, stderr=PIPE)
    stdout, stderr = p.communicate()


def main():
    if not os.path.exists('pcaps'):
        os.mkdir('pcaps')
    print("请创建 item.txt 文件,并将表格中的内容粘贴进文件中....")
    os.system("pause")
    print('running....')
    with open('item.txt', 'rb') as f:
        contents = f.read()
    filenames = contents.decode('utf-8')
    filenames = filenames.split('\r\n')
    host = load_cfg()['serverIP'] + ":" + load_cfg()['port']
    for filename in filenames:
        if len(filename) < 1:
            continue
        filename = filename.strip()
        url = host + filename
        pname = filename.split('/')[-1]
        req = threading.Thread(target=request_url, name='request', args=(url,))
        cat = threading.Thread(target=tshark_cap, name='catpcap', args=(pname,))
        cat.start()
        # 请注意,休眠时间不足的话,会导致抓到的数据包是空包
        # 不同的电脑上,此时的休眠时间不同。我同事是2秒就行,我的是5秒才行.
        # 你需要通过输入不同的休眠时间来测试,究竟休眠多少时间才能抓到数据包
        time.sleep(5)
        req.start()
        req.join()
        cat.join()
        # time.sleep(1)


if __name__ == '__main__':
    print('''
本工具为批量抓包工具,访问一次指定地址,抓一次数据包。
==============================================================
使用说明:
安装wireshark时会默认安装“tshark.exe”(一个命令行版的wireshark),
你可以使用everything搜索出其位置,在终端中运行它,如“.\tshark.exe -D”获取本地网卡,选择你像抓取的网卡编号
脚本使用GET方法每访问一次目标地址,就会调用tshark抓一次包
数据包会导出在与脚本同目录下的“pcaps”文件夹下

1. 使用方法:python 批量抓包-1112项目专用.py
2. 注意:使用前请先配置 cfg.yaml(此文件需要与脚本位于同一目录下)
3. 在“item.txt”中输入你要访问的url地址(此文件需要与脚本位于同一目录下)
 
    ''')
    main()
    print('enjoy it :)')
    # os.system("pause")

效果演示

在这里插入图片描述

lainwith
关注
专栏目录
使用Python实现windows下的抓包与解析
09-20
主要介绍了使用Python实现windows下的抓包与解析,非常不错,具有参考借鉴价值,需要的朋友可以参考下
python多进程调用tshark脚本处理pcap流量包
梦想闹钟
08-31 1626
python多进程调用tshark脚本处理pcap流量包
使用WireShark的tshark命令,在window系统Cmd命令行抓包(附环境变量的设置)
最新发布
m0_53412352的博客
08-26 584
工作中,有时候会遇到抓特定数据包的情况,但是却不知道这个特定数据包什么时候出现。因此就需要有设备值守抓包,这时就可以使用wireshark提供的tshark命令抓包
WinPcap教程(1):获取网卡列表
玄机逸士的专栏
06-22 7324
本部分将向你展示如果使用WinPcap API的特性。它是以教程的方式来组织的,并细分为一系列的课程,以step-by-step的方式,向读者介绍如何利用WinPcap编程,从基本的功能(获取网卡列表,抓包等等)到最高级的功能(处理发送队列和收集网络流量统计数据)。 代码片段以及一些简单但是完整的程序可供参考:所有源码都有指向使用手册的链接,即只要在函数或者数据结构上点击,就会跳到对应的文
Winpcap分析 -- NPF_CreateDevice
黄少彬的专栏
02-07 826
NPF_CreateDevice:这个函数主要是创建设备,并为设备创建符号链接,这其中涉及到的标准API请参考wdk文档首先会对传递进来的设备名字做合法性判断:()if (RtlCompareMemory(amacNameP->Buffer, devicePrefix.Buffer,     devicePrefix.Length) {     return FAL
调用wireshark接口(tshark.exe)抓包实现深度自定义,使用python处理抓包数据
热爱编程并专注于Python
04-14 2862
# _*_ coding: utf-8 _*_ """ Time: 2022/4/14 11:13 Author: Jyun Version: V 0.1 File: demo.py Blog: https://ctrlcv.blog.csdn.net """ import datetime import gzip import json import time import pyshark class GetPacket: def __init__(self,
(原创)WinpCap的详解(二)
weixin_30629977的博客
11-27 178
  接着上一篇博客,这里接着谈论WinpCap的详解(二)。 1、不用回调函数捕获数据   pcap_loop()函数是基于回调的原理来进行数据捕获,这是一种精妙的方法,并且在某些场合中,它是一种很好的选择。 然而,处理回调有时候并不实用 -- 它会增加程序的复杂度,特别是在拥有多线程的C++程序中。   可以通过直接调用pcap_next_ex() 函数来获得一个数据包 -- 只有当编程...
python实现linux下抓包并存库功能
12-31
最近项目需要抓包功能,并且抓包后要对数据包进行存库并分析。抓包想使用tcpdump来完成,但是tcpdump抓包之后只能保存为文件,我需要将其保存到数据库。想来想去shell脚本似乎不太好实现,于是用了比较热门的python...
二项堆python实现——eager binomial heap
06-21
eager binomial heaps python实现。使用双向链表,make_heap, insert, merge, find_min, extractMin.
python如何利用Mitmproxy抓包
01-19
一、使用 安装 pip install mitmproxy mitmproxy 是具有控制台界面的交互式,支持SSL的拦截代理 mitmdump是mitmproxy的命令行版本。... mitmweb 是一个基于web的界面,适用于mitmproxy mitmproxy(mac)、mitmdump、...
Packet32 打开网卡设备/写帧/读帧【帧:以太网格式】
liulilittle的博客
04-28 475
网卡设备ID格式为: \Device\NPF_{网卡名称},网卡名称可以通过 WINAPI “GetAdaptersInfo” 函数来获取,当然人们仍旧可以使用 Packet32 提供的 “PacketGetAdapterNames” 函数来获取,每个网卡之间使用 “/x0” 来做分隔符,结束标志位为某端两个“\x0”,用法简单就不再本文过多描述了。 PacketOpenAdapter 打开网卡设备 inline static LPADAPTER ethernet_open_device(c
python解包dump,tcpdump抓包及tshark解包方法介绍
weixin_42398141的博客
03-26 1300
tshark是wireshark的命令行工具,通过shell命令抓取、解析报文。tcpdump是Linux系统下的抓包工具。wireshark和tcpdump都共同使用 libpcap作为其底层抓包的库,tshark也可以抓取报文。有时候需要在linux系统或者ARM开发板中进行抓包,使用tcpdump抓包更加方便,在这种场景下,一般使用tcpdump进行抓包,然后在Windows中使用wires...
一个处理批量数据python脚本的分享
Aai1624的博客
11-26 847
由于在渗透测试和企业安全自查过程中,经常会涉及到批量数据处理,之前有写过python脚本处理,但是需要每次调整代码对应不同的情况,于是经过不断改进,直接编写了一版具备较强健壮性的python脚本,再次遇到批量数据处理,直接运行python脚本,选择参数即可,不需要手动调试代码。
python如何进行抓包
qq_65712884的博客
10-03 2921
首先导入了scapy库的所有内容。然后,定义了一个名为packet_callback的回调函数,用于处理每个抓到的数据包。在这个示例中,只是简单地打印了每个数据包的摘要信息。 最后,使用sniff函数开始抓包。sniff函数接受一个prn参数,用于指定回调函数,还可以通过count参数指定抓包的数量。
Python Fiddler抓包工具教学,获取公众号(pc客户端)数据
Python案例分享,B站视频教程:https://space.bilibili.com/523606542
02-03 2409
今天来教大家如何使用Fiddler抓包工具,获取公众号(PC客户端)的数据。Fiddler是位于客户端和服务器端的HTTP代理,是目前最常用的http抓包工具之一。
wireshark使用
m0_56709806的博客
03-25 3577
目录 Frame:物理层的数据帧概况 Ethernet ||:数据链路层以太网帧头部信息 Internet Protocol Version 4:互联网层IP包头部信息 Transmission Control Protocol:传输层的数据段头部信息——TCP协议 七层网络模型 Frame:物理层的数据帧概况 Frame 13147: 54 bytes on wire (432 bits), 54 bytes captured (432 bits) on interfa...
彻底解决 pyshark 库 TShark not found
Welcome To Myon'Blog !
04-16 874
新增 tshark 的路径为上面 tshark.exe 的位置,即 D:\Wireshark\tshark.exe。关于 pyshark 库 TShark not found 的问题至此解决。在 wireshark 安装目录下找到 tshark.exe。(注释主要是备份保险,当然你也可以直接修改)接下来我们找 pyshark 库的位置。这个是它原本的默认路径,我们将它注释掉。再次运行刚才的脚本,没有报错,执行成功。(先安装了 pyshark 库)使用编辑器(记事本)打开。依次点击 文件->设置。
scapy sniff 无法启动网卡
qq_41392015的博客
10-18 3322
在管理员下运行cmd,输入命令net start npcap即可。 伴随问题有: ifaces只有LOOKBACK,但是执行get_windows_if_list()却能返回全部网卡。 OSError: b’\Device\NPF_Loopback: Error opening adapter: \xcf\xb5\xcd\xb3\x… scapy Unknown pypcap network interface ‘VMware Network Adapter VMnet8’ 其他问题: scapy
wireshark 之 tshark常规用法
编程随手记
02-11 3303
文章目录tshark常用的命令行参数例子获取抓取设备接口抓取设备上的数据包(单一设备, 多设备, 所有设备)配置抓取过滤器(capture filter)抓取数据包的详细数据抓取的数据包写入到文件中配置显示过滤器分析抓取到的数据包文件(-R, -2, -Y的用法及区别)导出json格式到文件中, 方便后续分析 tshark是命令行式的wireshark tshark常用的命令行参数 参数 描述 -D 获取设备列表 -i 抓取的设备接口idx -f “${capture filt
Python实现微信指数批量查询教程
接下来是Python代码实现批量查询的示例。首先导入必要的库,包括requests(用于发送HTTP请求)、urllib(处理URL)、json(处理JSON数据)、random(生成随机数)和time(处理时间)。为了避免...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值