1. 简介
最近一直在使用做流量分析,今天把 scapy 部分做一个总结。
python 的 scapy 库可以方便的抓包与解析包,无奈资料很少,官方例子有限,大神博客很少提及, 经过一番尝试后,总结以下几点用法以便大家以后使用。
2. 用法实例
- 安装
作为初学者,关心的首先是如何安装,本人电脑系统是 fedora, 建议使用 linux。 推荐下载 pip,直接:(当然得在 su 权限下)
pip install scapy
- 在 terminal 中输入 scapy, 如果有下面形式即安装好了:
- 抓包
from scapy.all import *
dpkt = sniff(iface = "wlp7s0", count = 100)
sniff() 是 scapy 内置函数,有很多参数, 如图:
这里就不一一解释, iface 参数是网卡信息, 也就是 eth0 之类的, 我这里是 wlp7s0, count 参数是抓取的连接数量, 这里是 100, 还有 filter 参数是过滤等。
- 保存为 pcap 格式
wrpcap("demo.pcap", dpkt)
pcap 格式较为通用, 可以将上述抓取的包保存为 pcap。
dpkt 是上面抓取的流量
- 查看详细信息:
可以看到有 94 个 tcp 包, 4个 udp 包, 还有两个其他类型的包。
类似于 python 中的 list 类型, 可以使用下标访问, 比如用 python 可写个 for 循环遍历每个连接。长度可以使用 len 计算
注意这里 dpkt 不是 list 类型, 也不是 string 类型, 因此如果要进行字符串处理,要把它转换为 string 类型,
scapy强大地方在于可以通过字段来查看每一个字段信息,首先我们看一下它有那些字段:
可以使用 ls() 查看支持的协议类型,有很多,具体看几个:
甚至还有硬件信息:
还有很多, 可以自己去看一下, 不附图了。
知道它有那些字段后, 就可以调用了:
随便举个例子, 比如第四个连接 dpkt[3]
它的结构非常清楚,首先是 Ether 层, 然后是 IP 层, 然后是 TCP 层,访问时就按张如图就可以访问各个字段信息。
要注意的是, 不是所有连接都是这几个层, Ether 是都有的, 但是 udp 连接肯定就没有 TCP 层, 而是改为 udp 层, ARP 包肯定就没有 IP 层, 更没有 TCP 层,如果再 arp 连接使用 dpkt[i][IP] 就会报错, 因为它没有 IP 这一层。python 使用时可以时使用 ether 的 type 判断是不是 IP 包, 使用 ip 的 proto 判断时 tcp 还是 udp。
访问包中的报文可以使用 dpkt[i][Raw].load 字段, (假设第 i +1 个包有报文信息),同样,如果没有报文信息, 就没有 Raw 这一层,也就没有 load 这一字段。比如这里:
第六个连接并没有 Raw 数据,访问出错, 第七个有 Raw 数据,可以得到报文信息。
- 使用离线数据包:
pcap = sniff(offline = "xx/xx.pcap")
- 持续更新中