python scapy修改替换Pcap包负载

已于 2023-04-08 11:26:43 修改
阅读量950 收藏 1
点赞数
分类专栏: 网络安全 文章标签: python 网络安全 计算机网络
于 2023-04-07 21:39:45 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45154431/article/details/130021035
版权
文章讲述了如何使用Python的Scapy库解析数据包,并着重于如何更改HTTP数据包的负载内容以模拟恶意流量。在修改负载后,还需要调整IP和TCP层的长度及校验和。然而,当使用Wireshark打开新生成的pcap文件时,由于数据帧长度不匹配导致问题,解决方案是替换相同长度的负载。
摘要由CSDN通过智能技术生成

使用scapy库进行对数据包的解析,以及希望通过更改负载内容从而生成新的恶意流量数据
在通过scapy提取到的流量数据中,呈现出的是:

<Ether  dst=00:e0:b1:87:f5:94 src=00:0d:60:96:ae:5c type=IPv4 
|<IP  version=4 ihl=5 tos=0x0 len=636 id=9356 flags=DF frag=0 ttl=128 proto=tcp chksum=0x7bf3 src=192.168.4.121 dst=65.54.81.165 
|<TCP  sport=51779 dport=http seq=4271008838 ack=462547690 dataofs=5 reserved=0 flags=PA window=4380 chksum=0x1d81 urgptr=0 
|<Raw  load='GET /image.aspx?uuid=ba1caada-f9f5-4b3b-9fce-6231e98014d5&w=136&h=102 HTTP/1.1\r\nAccept: */*\r\nIf-Modified-Since: Fri, 11 Jun 2010 20:35:57 GMT\r\nUser-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; Windows Live Messenger 14.0.8117.0416)\r\nHost: img4.catalog.video.msn.com\r\nConnection: Keep-Alive\r\nCookie: MC1=GUID=e1d357ef6bd5480a8182689e0cff3f86; MH=MSFT; ANON=A=16E2C7EA7BB067D4DEF6578EFFFFFFFF&E=9e3&W=1; NAP=V=1.9&E=989&C=pWlFIRCeoKkXxLybdasmz1ySFGTMCouJK3rZUJj-VDvudt34fDIobg&W=1\r\n\r\n' |>>>>

以上为一个HTTP数据包,其中分为Ether、IP、TCP以及Raw,每一个上层协议都被当做下层协议的负载。
因此在修改负载时,特定指的是最后Raw.load的内容,需要处理的有每个包头(下层协议)的长度以及校验和。

from scapy.all import *

def main():
    pkts = rdpcap('ddossim.pcap')
    pkt_http = []
    payload_http = []
    IP_length_http=[]
    payload_length_http=[]
    for pkt in pkts:
        # raw = pkt.sprintf("%Raw.load%")
        if raw != '??' :
            try:
                payload = pkt['TCP']
                pkt_http.append(pkt)
                payload_http.append(pkt['Raw'].load)
                IP_length_http.append(len(pkt['IP']))
                payload_length_http.append(len(pkt['Raw'].load))

                import pdb;pdb.set_trace()
            except IndexError:
                continue

if __name__ == '__main__':
    main()

在恶意流量种类的选择方面,经过特征选择,最终得到某种恶意流量的特征存在于负载当中,其中包含一些恶意的网站等,接收到这种恶意流量后会被感染,并变成恶意流量发送端。基于此,采用更换负载内容以达到增加恶意流量数据的目的。

经过两次断点后,payload_http 为

随后采用:

                pkt_http[0]['Raw'].load=pkt_http[1]['Raw'].load
                pkt_http[0]['IP'].len= pkt_http[1]['IP'].len

修改第一个HTTP协议的负载以及IP层长度,并且重新计算IP层与TCP层校验和:

                pkt['IP'].chksum = None  # 重新计算校验和
                pkt['TCP'].chksum = None  # 重新计算校验和

最后采用:

				wrpcap("new.pcap",pkt_http[0])

保存修改后的网络流量。

但是保存的new.pcap包在使用Wireshark打开时,会出现以下问题:
在这里插入图片描述
原因在于scapy在处理数据包时,并未将数据帧作为解析对象并呈现,导致数据帧中的Frame Length与修改负载后的长度不匹配。
现在能想到的办法只有替换相同长度的负载,才能避免出现报错的情况。

scapy 修改数据_Scapy网络数据生成器简介
cunjiu9486的博客
10-11 1403
scapy 修改数据Scapy is a tool for network protocol, package generation and manipulation and showing them in a visual way with graphics and 3D images. There are tools equivalent like hping3 but scapy is v...
python scapy填充公共pcap数据集负载实现流量重放
裕东方的博客
05-10 3484
前言 在计算机网络领域的实验中,为了测试所提出的网络模型的性能,需要在模拟的环境中(如NS-2,SDN-Mininet)构建网络的背景流量。 然而,如果自己编写脚本发(套接字,多线程等)或者使用发工具(iperf、D-ITG等)作为背景流量生成器会存在两个缺陷,一是这些脚本发速率特别稳定,不容易有波动,仿真的效果不够理想(比如,攻击的检测率太高);二是自己编写的脚本往往参数过于理想化,而发工具通常也依赖于特定的发参数的输入(每秒数、字节数、带宽等),容易被审稿人怼不符合实际的网络情况。.
python使用scapy修改替换pcap的payload
01-21
python使用scapy修改替换pcap的payload 例如替换http get请求的内容,替换tcp负载内容
推荐项目:pcap2curl - 网络流量的时光机
最新发布
gitblog_01000的博客
08-30 757
推荐项目:pcap2curl - 网络流量的时光机 pcap2curlRead a packet capture, extract HTTP requests and turn them into cURL commands for replay.项目地址:https://gitcode.com/gh_mirrors/pc/pcap2curl 在数字海洋中,每一次HTTP请求都承载着数据交换的秘...
Python使用Scapy修改pcapMAC地址
captain
03-18 646
此外,如果你需要更直观的工具来修改pcap中的MAC地址,你也可以考虑使用Wireshark这样的网络协议分析器。请注意,修改pcap文件中的MAC地址可能会导致数据在网络中不被正确处理,因为MAC地址是用于在网络层进行地址解析的。在修改MAC地址后,你可能需要重新计算数据的校验和或进行其他必要的调整,以确保数据在网络中的正确传输。脚本将读取原始pcap文件,修改每个数据的MAC地址,并将修改后的数据保存到一个新的pcap文件中。替换为你要修改的原始pcap文件的路径,将。"新的源MAC地址"
windows下python使用scapy修改替换pcap文件的ether或tcp的payload
qq_29060627的博客
06-07 1002
系统:Windows 10 x64或者win7 x64。python使用3.8版本。
python 读取修改pcap的例子
09-19
今天小编就为大家分享一篇python 读取修改pcap的例子,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
python保存为pcap文件并解析的实例
09-19
Python网络安全领域中被广泛用于数据的抓取和分析,本实例主要讲解如何使用PythonScapy库来抓并保存为pcap文件,以及后续如何解析这些pcap文件。 首先,我们要导入必要的模块,括`os`用于文件操作,以及...
python scapy udp,python+scapy與解析
weixin_32224617的博客
03-25 1846
最近一直在使用做流量分析,今天把 scapy 部分做一個總結。 pythonscapy 庫可以方便的抓與解析,無奈資料很少,官方例子有限,大神博客很少提及, 經過一番嘗試后,總結以下幾點用法以便大家以后使用。python scapy與解析作為初學者,關心的首先是如何安裝,本人電腦系統是 fedora, 建議使用 linux。 推薦下載 pip,直接:(當然得在 su 權限下)pip...
Scapy网络数据修改工具
07-25
该工具基于Scapy,用于创建EDIG和修改网络数据(IT和OT),如IP、UDP、TCP、HTTP、RIP、ICMP、Modubs、Profinet等。
Python按连接拆分pcap文件
10-31
Python按连接拆分pcap文件,将文件拆成一个一个的小(按照连接)
python 解析pcap报文
06-06
本代码能对抓工具抓下来的pcap各个字段进行精确的解析,括文件头,报文头,协议头,数据内容等的解析。。
Python渗透测试——一、数据的编辑工具——Scapy
热门推荐
钟言的博客
12-09 1万+
本篇为Python渗透测试的第一篇,数据的编辑工具,Scapy,详细内容含了:Scapy简介 Scapy中的分层结构Scapy中的常用函数四、在Scapy 中发送和接收数据五、Scapy 中的抓函数等等
python scapy模块修改TCP应用层数据示例
weixin_45303433的博客
04-12 291
【代码】python scapy模块修改TCP应用层数据示例。
一种简单便捷的构造、修改 PCAP 数据的方法----仅使用 wireshark
Jason_Math的博客
05-25 8414
一种仅使用wirshark,简单、便捷、高效的构造、修改pcap数据的方法;先使用 wireshark 将数据以 Hex Dump 格式复制到 txt 文本,修改 txt 具体内容后使用 wireshark 根目录自带的 text2pcap 程序进行转换。
Scapy–数据的编辑工具
qq_38388677的博客
05-13 2448
Scapy–数据的编辑工具 在windows中scapy当做一个库使用;linux环境中,Scapy则可以作为一个独立的工具使用,具有和Python相同的交互式命令环境。可以不依赖Python。 一、如何构造 1、Scapy中的分层结构 Scapy采用分层的方式构造数据。最底层是Ether,然后是IP,再之后是TCP、UDP。 | 应用层 | http/https | |-传输层-|-TCP/UDP-| | 网络层 | IP | |最底层 | Ether | 分层 是通过“/”号来实现的
python+scapy进行修改pcap报文
小白成长之路的博客
07-07 3168
python+scapy简单修改数据
python拦截修改数据_python-用scapy作为MITM即时更改数据
weixin_39622747的博客
12-02 1584
假设我设法处于客户端和服务器之间的通信中间(假设我打开了一个热点,并使客户端仅通过我的计算机连接到服务器).如何在不中断自己与其他服务的通信的情况下更改客户端发送和接收的数据?必须有一种方法可以通过我的脚本路由客户端既发送又要接收的所有数据(在转发给他之前).我认为使用iptables是实现此目标的正确方向,但不确定究竟是什么参数才适合完成这项工作.我已经有以下简单的脚本:hotspotd s...
python使用scapy分析pcap获取子域名
04-30
使用 Scapy 分析 pcap 获取子域名可以通过以下步骤实现: 1. 导入 Scapy 库和 re 正则表达式库。 ```python from scapy.all import * import re ``` 2. 读取 pcap 文件并解析出 DNS 。 ```python pcap = ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值