Python中Scapy網絡嗅探子產品的使用

目錄

​​Scapy​​

​​scapy的安裝和使用 ​​

​​發包​​

​​發包和收包 ​​

​​抓包 ​​

​​将抓取到的資料包儲存​​

​​檢視抓取到的資料包 ​​

​​格式化輸出​​

​​過濾抓包​​

Scapy

scapy是python中一個可用于網絡嗅探的非常強大的第三方庫，可以用它來做 packet 嗅探和僞造 packet。 scapy已經在内部實作了大量的網絡協定。如DNS、ARP、IP、TCP、UDP等等，可以用它來編寫非常靈活實用的工具。

換言之，Scapy 是一個強大的操縱封包的互動程式。它可以僞造或者解析多種協定的封包，還具有發送、捕獲、比對請求和響應這些封包以及更多的功能。Scapy 可以輕松地做到像掃描(scanning)、路由跟蹤(tracerouting)、探測(probing)、單元測試(unit tests)、攻擊(attacks)和發現網絡(network discorvery)這樣的傳統任務。它可以代替 hping 、arpspoof 、arp-sk、arping,p0f 甚至是部分的Namp、tcpdump 和 tshark 的功能。

最簡單的一個發包

from scapy.all import *
data='hello,word!'
pkt=IP(src='10.96.10.208',dst='10.96.10.209')/TCP(sport=12345,dport=12345)/data
send(pkt,inter=1,count=5)  #每隔一秒發包，發5次      

scapy的安裝和使用

scapy預設是不安裝的，安裝指令：pip  install   scapy 

安裝完後： 

• ls()  指令可以檢視所有支援的協定
• ls(IP) 指令列出ip協定頭部字段格式，隻要想檢視哪個協定的參數，括号裡就填哪個協定
• IP().show()　列出ip包的資訊
• lsc() 指令列出scapy的所有指令
• conf 指令列出scapy 的配置參數

發包的包格式： 層的協定(參數)/上一層的協定(參數) /要發送的資料    ，比如如下

IP(src='10.96.10.208',dst='10.96.10.209')/TCP(sport=12345,dport=12345)/data      

發包

發送三層包：send(pkt, inter=0, loop=0, count=1, iface=N) 

發送二層包：sendp(pkt, inter=0, loop=0, count=1, iface=N) 

使用tcpreplay在第二層以更快的速度發送資料包 ：sendpfast(pkt, pps=N, mbps=N, loop=0, iface=N) 

def send(x, inter=0, loop=0, count=None, verbose=None, realtime=None, return_packets=False, socket=None，*args,**kargs)

def sendp(x, inter=0, loop=0, iface=None, iface_hint=None, count=None, verbose=None, realtime=None,

          return_packets=False, socket=None，*args,**kargs)

def sendpfast(x, pps=None, mbps=None, realtime=None, loop=0, file_cache=False, iface=None，*args,**kargs)

from scapy.all import *
send(IP(dst="202.99.96.68")/UDP(dport=53))
sendp(Ether()/IP(dst="202.99.96.68")/UDP(dport=53))      

發包和收包 

和上面發包不同的是，發包僅僅是發送包，而發包和收包是對發包的回複資訊進行收集。

• 三層發包和收包：sr(pkt, filter=N, iface=N)
• 二層發包和收包：srp(pkt, filter=N, iface=N)
• 三層發包但是僅僅接受第一個回複：sr1(pkt, inter=0, loop=0, count=1, iface=N),
• 二層發包但是僅僅接受第一個回複：srp1(pkt, filter=N, iface=N)
• 在環回口發包并且列印出所有的回複：srloop(pkt, timeout=N, count=N), srploop(…)

def sr(x, promisc=None, filter=None, iface=None, nofilter=0，*args,**kargs)

def srp(x, promisc=None, iface=None, iface_hint=None, filter=None, nofilter=0, type=ETH_P_ALL，*args,**kargs)

def sr1(x, promisc=None, filter=None, iface=None, nofilter=0，*args,**kargs)

def srp1(*args,**kargs) 

以上所有的發包和收包都是接收到兩個參數，第一個參數是回複的包，第二個參數是沒回複的包 

舉例，我們利用arp協定獲得指定ip的mac位址

>>ans,unans=srp(Ether(dst="ff:ff:ff:ff:ff:ff")/ARP(pdst="10.96.10.197"))
>>print(ans)
>>print(unans)
<Results: TCP:0 UDP:0 ICMP:0 Other:1>
<Unanswered: TCP:0 UDP:0 ICMP:0 Other:0>

可知，ans是回複我們的包，如果我們想獲得ans回複的資料，我們可以檢視ans的第一個包
>>print(ans[0])
(<Ether  dst=ff:ff:ff:ff:ff:ff type=0x806 |<ARP  pdst=10.96.10.197 |>>, <Ether  dst=50:7b:9d:12:b2:ca src=e4:35:c8:7a:58:a6 type=0x806 |<ARP  hwtype=0x1 ptype=0x800 hwlen=6 plen=4 op=is-at hwsrc=e4:35:c8:7a:58:a6 psrc=10.96.10.197 hwdst=50:7b:9d:12:b2:ca pdst=10.96.10.208 |<Padding  load='\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00' |>>>)

ans[0]包中是一個元組，第一部分是我們發的資訊，第二部分是回複的資訊。很明顯，第二部分才是我們要的内容
>>for snd,rcv in ans:
>>   list_mac=rcv.sprintf("%Ether.src% - %ARP.psrc%")     #按照指定格式列印出我們的包
>>   print(list_mac)
e4:35:c8:7a:58:a6 - 10.96.10.197      

抓包 

scapy抓包使用 sniff()

def sniff(count=0, store=1, offline=None, prn=None,filter=None, L2socket=None, timeout=None, opened_socket=None, stop_filter=None, iface=None，*args,**kargs)

• count：抓包的數量，0表示無限制；
• store：儲存抓取的資料包或者丢棄，1儲存，0丢棄
• offline：從 pcap 檔案讀取資料包，而不進行嗅探，預設為None
• prn：為每一個資料包定義一個函數，如果傳回了什麼，則顯示。例如：prn = lambda x: x.summary()； （  packct.summar()函數傳回的是對包的統計性資訊 ）
• filter：過濾規則，使用wireshark裡面的過濾文法
• L2socket：使用給定的 L2socket
• timeout：在給定的時間後停止嗅探，預設為 None
• opened_socket：對指定的對象使用 .recv() 進行讀取；
• stop_filter：定義一個函數，決定在抓到指定資料包後停止抓包，如：stop_filter = lambda x: x.haslayer(TCP)；
• iface：指定抓包的接口

将抓取到的資料包儲存

from scapy.all import *
package=sniff(iface='eth0',count=10)  #掃描eth0網卡的資料包，總數為10個
wrpcap("test.pcap",package)  #将抓取到的包儲存為test.pcap檔案

如果我們以後想檢視這個包的話，可以這樣使用
package = sniff(offline='test.pcap')  或 package= rdpcap('test.pcap')      

檢視抓取到的資料包 

>>from scapy.all import *
>>package=sniff(iface='eth0',count=10)  #掃描eth0網卡的資料包，總數為10個
>>print(package)
<Sniffed: TCP:0 UDP:10 ICMP:0 Other:0>      

從上面可以看到，我們抓取到了十個UDP的資料包，然後我們可以檢視第一個資料包：package[0]是檢視第一個資料包的資料，package[0].show()是檢視第一個資料包的詳細資訊，scapy是按照按照 TCP/IP 四層參考模型顯示詳細包資訊的，即：鍊路層 [Ethernet]、網絡層[IP]、傳輸層[TCP/UDP]、應用層[RAW] 。我們還可以通過協定來檢視指定的包：

package[UDP][0].show() ，因為我們這裡隻有UDP的資料包，是以就沒有這樣使用。，而我們也可以直接隻擷取指定層的資料，如： pcap[UDP][1][Ether].dst   這個包裡面是等于ff:ff:ff:ff:ff:ff

from scapy.all import *
package=sniff(iface='eth0',count=10)  #掃描eth0網卡的資料包，總數為10個
print(package)
print(package[0])   #檢視第一個資料包的資料
print(package[0].show())  #檢視第一個資料包的詳情 
######################################################################
<Sniffed: TCP:0 UDP:9 ICMP:0 Other:1>

b"\xff\xff\xff\xff\xff\xff\xc8[v\xec5\xed\x08\x00E\x00\x01#8G\x00\x00@\x11\x17=\n`\n\x88\n`\n\xff\xd6\x83\xd6\x83\x01\x0fN\xa0\x00qu-PC\x00\x00H\xb6\x1d\x07\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xe0\x1dF\x02\x00\x00\x00\x00\xd0\xb5\x1d\x07\x00\x00\x00\x003'\x00\x00\x00\x00\x00\x00\xd0\x1dF\x02\x00\x00\x00\x00\xc02\xc5\x05\x00\x00\x00\x00|j\x85`\x00\x00\x00\x00p\xa4/a\x00\x00\x00\x00\xf9\xb9\x1d\x07\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00`\xfe\xcc\x05\x00\x00\x00\x00D\xb6\x1d\x07\x00\x00\x00\x00`\xb6\x1d\x07\x00\x00\x00\x00H\xaa {efdced0c-1ada-40e0-a13e-2968030599d4}\x00\x00\x00\x00\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00@\xb6\x1d\x07\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00n\x00\xc5\xac"

###[ Ethernet ]### 
  dst       = ff:ff:ff:ff:ff:ff
  src       = c8:5b:76:ec:35:ed
  type      = 0x800
###[ IP ]### 
     version   = 4
     ihl       = 5
     tos       = 0x0
     len       = 291
     id        = 14407
     flags     = 
     frag      = 0
     ttl       = 64
     proto     = udp
     chksum    = 0x173d
     src       = 10.96.10.136
     dst       = 10.96.10.255
     \options   \
###[ UDP ]### 
        sport     = 54915
        dport     = 54915
        len       = 271
        chksum    = 0x4ea0
###[ Raw ]### 
           load      = "\x00qu-PC\x00\x00H\xb6\x1d\x07\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xe0\x1dF\x02\x00\x00\x00\x00\xd0\xb5\x1d\x07\x00\x00\x00\x003'\x00\x00\x00\x00\x00\x00\xd0\x1dF\x02\x00\x00\x00\x00\xc02\xc5\x05\x00\x00\x00\x00|j\x85`\x00\x00\x00\x00p\xa4/a\x00\x00\x00\x00\xf9\xb9\x1d\x07\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00`\xfe\xcc\x05\x00\x00\x00\x00D\xb6\x1d\x07\x00\x00\x00\x00`\xb6\x1d\x07\x00\x00\x00\x00H\xaa {efdced0c-1ada-40e0-a13e-2968030599d4}\x00\x00\x00\x00\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00@\xb6\x1d\x07\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00n\x00\xc5\xac"      

格式化輸出

如果我們要對抓取到的資料包進行格式化輸出，我們可以使用 packet.​

​sprintf()​

​

sprintf()讀資料格式：IP：%IP.src%  代表讀取的是IP字段的源位址

比如要讀取IP包的源位址和目的位址： IP:%IP.src% -> %IP.dst%

要讀取UDP中的源端口和目的端口：  UDP:%UDP.sport% -> %UDP.sport%

過濾抓包

如果我們想抓指定類型的資料包，就需要使用 filter 進行過濾，而 filter 使用的是 Berkeley Packet Filter (BPF)文法，也就是我們在 wireshark 中可以使用的過濾文法

比如說我們隻抓取 icmp 的包，并且按照 源ip-> 目的ip 的格式列印出來 。我在一直ping百度，下面是抓包的

sniff(filter="icmp",count=5,prn=lambda x : x.sprintf("{IP:%IP.src%-> %IP.dst%}"))