其他分享
首页 > 其他分享> > 数据包处理利器——Scapy基础知识

数据包处理利器——Scapy基础知识

作者:互联网

欢迎关注个人公号:运维开发故事

什么 是scapy

Scapy是功能强大的交互式数据包处理程序。它能够伪造或解码各种协议的数据包,在线发送,捕获,匹配请求和响应等。它可以轻松处理大多数经典任务,例如扫描,跟踪路由,探测,单元测试,***或网络发现,它可以代替hping,arpspoof,arp-sk,arping,p0f甚至Nmap,tcpdump和tshark的某些部分。。它在其他工具无法处理的许多其他特定任务上也表现出色,例如发送无效帧,组合技术(VLAN跳变+ ARP缓存中毒,WEP加密通道上的VOIP解码等等)

安装scapy

直接pip安装即可,我使用的是python3

pip3 install scapy

scapy基本使用

输入scapy回车进入scapy的shell
可以使用ls()来查看scapy支持的协议
image.png
使用lsc()查看scapy支持的函数
image.png
还可以使用ls()获取协议包含的参数
image.png

发送和接收数据包

send

- 在第3层发送数据包(Scapy创建第2层标头),不接收任何数据包。

sendp("I’m travelling on Ethernet", iface="eth0", loop=1, inter=0.2)

sendp(rdpcap("/tmp/pcapfile")) # tcpreplay
...........
Sent 11 packets.


#### sr

我们可以使用Scapy创建一组数据包

>>> pkts = IP(ttl=[1,3,5,(7,10)])/TCP()
>>> [pkt for pkt in pkts]
[<IP  frag=0 ttl=1 proto=tcp |<TCP  |>>,
 <IP  frag=0 ttl=3 proto=tcp |<TCP  |>>,
 <IP  frag=0 ttl=5 proto=tcp |<TCP  |>>,
 <IP  frag=0 ttl=7 proto=tcp |<TCP  |>>,
 <IP  frag=0 ttl=8 proto=tcp |<TCP  |>>,
 <IP  frag=0 ttl=9 proto=tcp |<TCP  |>>,
 <IP  frag=0 ttl=10 proto=tcp |<TCP  |>>]
 >>> packet=IP(dst="192.168.*.1-10")/TCP(dport=(0,100))
 >>> [a for a in packet]
[<IP  frag=0 proto=tcp dst=192.168.1.1 |<TCP  dport=0 |>>,
 <IP  frag=0 proto=tcp dst=192.168.1.1 |<TCP  dport=tcpmux |>>,
 <IP  frag=0 proto=tcp dst=192.168.1.1 |<TCP  dport=compressnet |>>,
 <IP  frag=0 proto=tcp dst=192.168.1.1 |<TCP  dport=3 |>>,
 <IP  frag=0 proto=tcp dst=192.168.1.1 |<TCP  dport=4 |>>,
 <IP  frag=0 proto=tcp dst=192.168.1.1 |<TCP  dport=rje |>>,
 <IP  frag=0 proto=tcp dst=192.168.1.1 |<TCP  dport=6 |>>,
 <IP  frag=0 proto=tcp dst=192.168.1.1 |<TCP  dport=echo |>>,
 <IP  frag=0 proto=tcp dst=192.168.1.1 |<TCP  dport=8 |>>,
 <IP  frag=0 proto=tcp dst=192.168.1.1 |<TCP  dport=discard |>>,
 <IP  frag=0 proto=tcp dst=192.168.1.1 |<TCP  dport=10 |>>,
 <IP  frag=0 proto=tcp dst=192.168.1.1 |<TCP  dport=systat |>>,
 <IP  frag=0 proto=tcp dst=192.168.1.1 |<TCP  dport=12 |>>,
 <IP  frag=0 proto=tcp dst=192.168.1.1 |<TCP  dport=daytime |>>,
 <IP  frag=0 proto=tcp dst=192.168.1.1 |<TCP  dport=14 |>>,
 <IP  frag=0 proto=tcp dst=192.168.1.1 |<TCP  dport=netstat |>>,
 <IP  frag=0 proto=tcp dst=192.168.1.1 |<TCP  dport=16 |>>,
 <IP  frag=0 proto=tcp dst=192.168.1.1 |<TCP  dport=qotd |>>,
 <IP  frag=0 proto=tcp dst=192.168.1.1 |<TCP  dport=msp |>>,
 <IP  frag=0 proto=tcp dst=192.168.1.1 |<TCP  dport=chargen |>>,
 <IP  frag=0 proto=tcp dst=192.168.1.1 |<TCP  dport=ftp_data |>>,
 <IP  frag=0 proto=tcp dst=192.168.1.1 |<TCP  dport=ftp |>>,
 <IP  frag=0 proto=tcp dst=192.168.1.1 |<TCP  dport=ssh |>>,
 <IP  frag=0 proto=tcp dst=192.168.1.1 |<TCP  dport=telnet |>>,
 <IP  frag=0 proto=tcp dst=192.168.1.1 |<TCP  dport=lmtp |>>,
 <IP  frag=0 proto=tcp dst=192.168.1.1 |<TCP  dport=smtp |>>,
 <IP  frag=0 proto=tcp dst=192.168.1.1 |<TCP  dport=26 |>>,
 <IP  frag=0 proto=tcp dst=192.168.1.1 |<TCP  dport=nsw_fe |>>,
 <IP  frag=0 proto=tcp dst=192.168.1.1 |<TCP  dport=28 |>>,
 <IP  frag=0 proto=tcp dst=192.168.1.1 |<TCP  dport=msg_icp |>>,
 <IP  frag=0 proto=tcp dst=192.168.1.1 |<TCP  dport=30 |>>,

检查数据包

获取数据包的详细说明以及数据类型

>>> packet = IP()/TCP()
>>> ls(packet)
version    : BitField             = 4               (4)
ihl        : BitField             = None            (None)
tos        : XByteField           = 0               (0)
len        : ShortField           = None            (None)
id         : ShortField           = 1               (1)
flags      : FlagsField           = 0               (0)
frag       : BitField             = 0               (0)
ttl        : ByteField            = 64              (64)
proto      : ByteEnumField        = 6               (0)
chksum     : XShortField          = None            (None)
src        : Emph                 = '127.0.0.1'     (None)
dst        : Emph                 = '127.0.0.1'     ('127.0.0.1')
options    : PacketListField      = []              ([])
[-- snipped --]

show

显示详细的包头

>>> packet.show()
###[ IP ]### 
  version= 4
  ihl= None
  tos= 0x0
  len= None
  id= 1
  flags= 
  frag= 0
  ttl= 64
  proto= tcp
  chksum= None
  src= 127.0.0.1
  dst= 127.0.0.1
  \options\
###[ TCP ]### 
     sport= ftp_data
     dport= http
     seq= 0
     ack= 0
     dataofs= None
     reserved= 0
     flags= S
     window= 8192
     chksum= None
     urgptr= 0
     options= []

show2

与show()类似,但可以组装数据包并计算校验和和IHL(报头长度,最小值是5)。

>>> packet.show2()
###[ IP ]### 
  version= 4
  ihl= 5
  tos= 0x0
  len= 40
  id= 1
  flags= 
  frag= 0
  ttl= 64
  proto= tcp
  chksum= 0x7ccd
  src= 127.0.0.1
  dst= 127.0.0.1
  \options\
###[ TCP ]### 
     sport= ftp_data
     dport= http
     seq= 0
     ack= 0
     dataofs= 5
     reserved= 0
     flags= S
     window= 8192
     chksum= 0x917c
     urgptr= 0
     options= []

summary

显示数据包的简短的摘要

>>> packet.summary()
'IP / TCP 127.0.0.1:ftp_data > 127.0.0.1:http S'

与数据包内部的字段进行交互

>>> Ether(dst="d8:55:a3:fe:80:78")/IP(dst="8.8.8.8")
<Ether  dst=d8:55:a3:fe:80:78 type=IPv4 |<IP  dst=8.8.8.8 |>>
>>> packet=_
>>> packet.dst
'd8:55:a3:fe:80:78'
>>> packet[IP].dst
'8.8.8.8'

检查数据包中是否存在层

haslayer方法

>>> if packet.haslayer(IP):
...:     print (packet[IP].dst)
...: 
8.8.8.8

使用in构造

>>> pkt = IP()/TCP()/DNS()
>>> DNS in pkt
True

Scapy的sprintf

数据包处理利器——Scapy基础知识

标签:IP,dst,Scapy,TCP,基础知识,packet,8.8,数据包
来源: https://blog.51cto.com/u_12970189/2780073