NFQUEUE抓包

最新推荐文章于 2023-04-19 15:54:43 发布
最新推荐文章于 2023-04-19 15:54:43 发布
阅读量4.3k 收藏 4
点赞数 1
分类专栏: c++

nfqueue

和C的libipq比起来,支持python的nfqueue会显得强大很多,特别是和scapy结合起来用的时候。

首先需要说明的是在iptables中的target除了之前提到的五项(ACCEPT,DROP,RETURN,QUEUE,other_chain)之外,还有一个叫NFQUEUE,它是QUEUE的扩展。相比于QUEUE,它可以由用户指定不同的queue number。

在使用nfqueue之前,需要安装如下的包:

$ sudo aptitude install libnetfilter-queue-dev
$ sudo aptitude install nfqueue-bindings-python
$ sudo aptitude install python-scapy

之后就可以采用python对NFQUEUE进行操作了。

假设我们将封包从主机A(192.168.1.1)传输到主机B(192.168.1.2)时,需要对封包进行分析,如果是TCP协议的包,并且其flags为 ACK|PSH 的话,则将其payload进行修改(比如替换成“hack”):

首先,需要先在主机A中对iptables进行操作:

$ sudo iptables -A OUTPUT -d 192.168.1.2 -p tcp -j NFQUEUE

然后利用下面的代码:

<span class="line-number">1</span>
<span class="line-number">2</span>
<span class="line-number">3</span>
<span class="line-number">4</span>
<span class="line-number">5</span>
<span class="line-number">6</span>
<span class="line-number">7</span>
<span class="line-number">8</span>
<span class="line-number">9</span>
<span class="line-number">10</span>
<span class="line-number">11</span>
<span class="line-number">12</span>
<span class="line-number">13</span>
<span class="line-number">14</span>
<span class="line-number">15</span>
<span class="line-number">16</span>
<span class="line-number">17</span>
<span class="line-number">18</span>
<span class="line-number">19</span>
<span class="line-number">20</span>
<span class="line-number">21</span>
<span class="line-number">22</span>
<span class="line-number">23</span>
<span class="line-number">24</span>
<span class="line-number">25</span>
<span class="line-number">26</span>
<span class="line-number">27</span>
<span class="line-number">28</span>
<span class="line-number">29</span>
<span class="line-number">30</span>
<span class="line-number">31</span>
<span class="line-number">32</span>
<span class="line-number">33</span>
<span class="line-number">34</span>
<span class="line-number">35</span>
<span class="line-number">36</span>
<span class="line-number">37</span>

import os,sys,nfqueue,socket
from scapy.all import *

def ch_payload_and_send(pkt):
  pkt[TCP].payload == "hack"
  send(pkt, verbose=0)

def process(i, payload):
  data = payload.get_data()
  pkt = IP(data)

  # Check if TCP flags is ACK|PSH
  if pkt[TCP].flags == 24:
      # Dropping the packet
      payload.set_verdict(nfqueue.NF_DROP)
      ch_payload_and_send(pkt)
  else:
      # Accepting the packet
      payload.set_verdict(nfqueue.NF_ACCEPT)
  
def main():
  q = nfqueue.queue()
  q.open()
  q.unbind(socket.AF_INET)
  q.bind(socket.AF_INET)
  q.set_callback(process)
  q.create_queue(0)

  try:
      q.try_run()
  except KeyboardInterrupt:
      print "Exiting..."
      q.unbind(socket.AF_INET)
      q.close()
      sys.exit(1)

main()

这里用到了scapy这个非常牛逼的模块,它可以直接通过如IP()TCP()等直接对包进行解释和操作,非常方便,具体的可以参看它的文档。这里只是说明下它的安装方式:

$ wget scapy.net
$ mv index.html scapy-latest.zip
$ chmod +x scapy-latest.zip
$ mv scapy-latest.zip /usr/local/bin/scapy

然后就可以运行:

$ sudo scapy

直接开启scapy的交互模式了。

转载自:http://blog.csdn.net/langeldep/article/details/8788360
zhbt1234
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
python 控制有线网卡_Python选择网卡发包及接收数据包
weixin_39846361的博客
11-24 463
当一台计算机上有多个网卡时,需要选择对应IP地址的网卡进行发送数据包或者接受数据包。1、选择网卡发包(应用scapy):plface=conf.route.route("××.××.××.××")[0]#××.××.××.××为对应网卡网络中存在设备的IP地址。不能是需要发送数据包的网卡的IP地址(会报“result too large”)pkt=conf.L2socket(plface)pack...
银河麒麟v10 sp1服务器操作系统安装使用tcpdump抓包工具
weixin_43238928的博客
07-26 6754
日常运维中,我们经常会用到抓包工具来捕获一些数据以便来分析业务系统收发包情况,今天我们将一起学习下如何在银河麒麟服务器操作系统上使用tcpdump工具进行抓包分析。
利用netfilter NFQUEUE实现网关认证的HTTP重定向
01-14
摘 要:利用netfilter的NFQUEUE机制,将未认证用户的TCP 80端口流量发送至用户态进程redir_http,redir_http使用原始套接字发送应答数据分组,在用户态实现HTTP重定向功能。这种实现方法既保证了重定向的高性能,又能避免Linux内核中的繁琐程序开发,降低程序开发复杂度,提高系统运行的稳定性。
NFQueue简单介绍
saturn254的专栏
09-19 1582
netfilter netlink
nfqueue安装
weixin_30266885的博客
11-05 723
root@OrangePizero:/home/nfqueue/libnfnetlink-1.0.1# ./configure checking build system type... armv7l-unknown-linux-gnueabihf checking host system type... armv7l-unknown-linux-gnueabihf checking ...
nfqueue性能评估
SHELLCODE_8BIT的博客
04-19 339
1.单个nfqueue的开销,和响应情况,然后逐渐增大nfqueue,来看响应情况。3.最后决定如果要保证响应质量,应该配什么配置。本质就是这个功能上了,成本要增加多少。1.nfqueue队列速度。那么影响性能的几个口子。
tcpdump使用过滤条件抓包(基础篇)
热门推荐
BruceLeeNumberOne的博客
10-31 1万+
引言 这是有关网络协议的第三篇文章。 前两篇文章分享了tcpdump和tshark最基本的用法。这篇文章原本是想翻译tcpdump官方文档,但是网上已经有了现成的翻译版本,作者已经对比较难懂的部分做了说明,当然作者也有略过一部分的说明。Tcpdump实际上非常复杂,需要对网络协议有全面又细致的掌握,有兴趣可以参考tcpdump官方文档。 这篇文章主要从使用的角度对tcpdump常用的命令进行分享,...
nf_queue改包
Kafka的博客
06-22 2380
系统:centos 7准备:安装libnetfilter_queue模块,可以yum安装,也可以网上下载rpm包安装简介:使用iptables在NAT表上创建DNAT与SNAT规则,对数据包进行转发;在MANGLE表上的FORWARD链上创建NF_QUEUE规则对数据进行勾取并修改;(iptables只有mangle表可以修改数据) 示例规则://把到本机 50.24 8889端口的数据包,na...
Linux tcpdump 命令详解与示例
踏歌行的专栏
02-20 4453
Linux tcpdump 命令详解,常用命令选项与常见示例
2020-10-17
nunu__的博客
10-17 432
Suricata学习笔记 1. Suricate用户手册 Suricata 5.0.3 documentation 2. Basic Setup sudo vim /etc/suricata/suricata.yaml HOME_NET 用于配置本地服务器的IP地址(可以是具体的某一个IP地址,也可以是一个网段) rule-path 用户可以自定义suricata将要使用的规则 通常我会把自己写的规则放在:/etc/suricata/rules/myrule/xxx.rules fast.lo
nfqueue-tcpip-socket.rar
11-24
在linux环境下,使用libnetfilter_queue进行网络数据内容的修改并且将数据返回到用户空间给对应的应用程序使用,其中: 1、文件夹nfqueue-tcpip中实现数据抓取-修改-发送的工作,只需要在linux环境下使用 make 即可生成对应的可执行程序,需要以root权限去执行 2、文件夹socket-tcp中实现socket的tcp客户端和服务端的代码,只需在linux下环境下make即可生成 server和client的可执行程序
nfqueue_sip_hijacker:演示 nfqueue 用于 SIP 消息操作的简单 Python 脚本
06-07
NFqueue SIP 劫持者 演示 NFQUEUE 用法的简单“代理”应用程序 注册将 SIP 消息推送到代理的 iptables 规则 代理修改外发 INVITE 消息的被叫电话号码 撤消传入 SIP 消息的电话号码替换 伪造 SIP 消息摘要认证(必须知道 UA 的密码)
netfilter-nfqueue-samples:使用 libnfqueue 的非常短的 C 示例代码,用户空间上的防火墙
06-04
netfilter-nfqueue-samples 使用 libnfqueue 的非常短的 C 示例代码,用户空间上的防火墙 编译链接到 nfnetlinkg、netfilter_queue、memcached、mysqlclient 和 pthread 示例链接:-lnfnetlink -lnetfilter_queue -lmemcached -lmysqlclient -lpthread -lz -lm -ldl
使用netfilter_queue改包笔记
weixin_30236595的博客
11-26 940
系统:centos 7 准备:安装libnetfilter_queue模块,可以yum安装,也可以网上下载rpm包安装 简介:使用iptables在NAT表上创建DNAT与SNAT规则,对数据包进行转发;在MANGLE表上的FORWARD链上创建NF_QUEUE规则对数据进行勾取并修改;(iptables只有mangle表可以修改数据) 示例规则: //把到本机 50.24 ...
nf-queue编译
weixin_30875157的博客
10-27 302
gcc nf-queue.c -o nf-queue -lnetfilter_queue -lmnl -I../libnetfilter_queue-1.0.2 gcc nf-queue.c -o nf-queue -lnetfilter_queue -lmnl -I../../libnetfilter_queue-1.0.2/include/ cp /home/libnetfil...
Scapy + Nfqueue
wang_walfred的专栏
01-07 7239
背景1:Nfqueue Nfqueue是iptables和ip6tables的target,这个target可以将数据包交给用户空间。比如,下面的一个iptables规则 iptables -A INPUT -j NFQUEUE --queue-num 0 那么在用户空间,可以使用libnetfilter_queue来连接到queue  0(默认)并且从内核获得该消息,然后,必须
iptables目标NFQUEUE
redwingz的博客
05-01 1755
NFQUEUE目标帮助信息如下。 # iptables -j NFQUEUE -h NFQUEUE target options --queue-num value Send packet to QUEUE number <value>. Valid queue numbers are 0-65535 --queue-balance first:last Balance flows between
Linux NFQUEUE
zxygww的专栏
04-13 2919
默认队列大小为1024,当队列满或者无法通过netlink_unicast发送该skb时,该数据包会被丢弃。
iptables 3: 动作MARK NFQUEUE
weixin_42639771的博客
04-17 2119
1. 参考 https://blog.csdn.net/wangzhen_csdn/article/details/83038122 一、nfqueue相关函数 1. nfnl_open struct nfnl_handle *nfnl_open(void) 函数说明: 开启nfnetlink 处理程序 函数功能: 该函数创建一个nfnetlink 处理程序,此函数创建NFNETLi...
给一个NFQUEUE的发包示例
最新发布
04-27
下面是一个基于Python的NFQUEUE的发包示例: ```python import socket from struct import pack # 构造IP头部 def make_ip_header(src_ip, dst_ip): ip_ver = 4 ip_ihl = 5 ip_tos = 0 ip_tot_len = 40 ip_id = 54321 ip_frag_off = 0 ip_ttl = 255 ip_proto = socket.IPPROTO_TCP ip_check = 0 ip_saddr = socket.inet_aton(src_ip) ip_daddr = socket.inet_aton(dst_ip) ip_ihl_ver = (ip_ver << 4) + ip_ihl ip_header = pack('!BBHHHBBH4s4s', ip_ihl_ver, ip_tos, ip_tot_len, ip_id, ip_frag_off, ip_ttl, ip_proto, ip_check, ip_saddr, ip_daddr) return ip_header # 构造TCP头部 def make_tcp_header(src_port, dst_port): tcp_seq = 0 tcp_ack_seq = 0 tcp_doff = 5 tcp_flags = 0x02 tcp_window = socket.htons(5840) tcp_check = 0 tcp_urg_ptr = 0 tcp_offset_res = (tcp_doff << 4) + 0 tcp_header = pack('!HHLLBBHHH', src_port, dst_port, tcp_seq, tcp_ack_seq, tcp_offset_res, tcp_flags, tcp_window, tcp_check, tcp_urg_ptr) return tcp_header # 构造TCP数据 def make_tcp_data(): data = b'Hello, World!' return data # 发送数据包 def send_packet(src_ip, dst_ip, src_port, dst_port): # 构造IP头部 ip_header = make_ip_header(src_ip, dst_ip) # 构造TCP头部 tcp_header = make_tcp_header(src_port, dst_port) # 构造TCP数据 tcp_data = make_tcp_data() # 计算TCP校验和 pseudo_header = pack('!4s4sBBH', socket.inet_aton(src_ip), socket.inet_aton(dst_ip), 0, socket.IPPROTO_TCP, len(tcp_header) + len(tcp_data)) pseudo_header = pseudo_header + tcp_header + tcp_data tcp_check = checksum(pseudo_header) # 构造TCP头部(包含校验和) tcp_header = pack('!HHLLBBH', src_port, dst_port, 0, 0, (5 << 4) + 0x02, tcp_check, tcp_header[6]) # 构造TCP数据包 packet = ip_header + tcp_header + tcp_data # 创建一个原始套接字 s = socket.socket(socket.AF_INET, socket.SOCK_RAW, socket.IPPROTO_RAW) # 发送数据包 s.sendto(packet, (dst_ip, 0)) # 计算校验和 def checksum(data): if len(data) % 2: data = data + b'\x00' words = [int.from_bytes(data[i:i + 2], 'big') for i in range(0, len(data), 2)] chksum = sum(words) while chksum >> 16: chksum = (chksum >> 16) + (chksum & 0xffff) chksum = ~chksum & 0xffff return chksum # 发送数据包 send_packet('192.168.1.100', '192.168.1.1', 8888, 80) ``` 该示例可以构造一个TCP数据包并发送到目标IP地址和端口号。您可以根据需要修改源IP地址、目标IP地址、源端口号和目标端口号。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值