Python Scapy隨心所欲研究TCP協(xié)議棧

更新時間：2018年11月20日 11:06:47 作者：五山小新新

今天小編就為大家分享一篇關(guān)于Python Scapy隨心所欲研究TCP協(xié)議棧，小編覺得內(nèi)容挺不錯的，現(xiàn)在分享給大家，具有很好的參考價值，需要的朋友一起跟隨小編來看看吧

1. 前言

如果只需要研究Linux的tcp協(xié)議棧行為，只需要使用packetdrill就能夠滿足我的所有需求。packetdrill才是讓我隨心所欲地撩tcp協(xié)議棧。packetdrill的簡單使用手冊。

然而悲劇的是，除了要研究Linux的TCP協(xié)議棧行為，還需要研究Windows的tcp協(xié)議棧的行為，Windows不開源，感覺里面應(yīng)該有挺多未知的坑。

為了能夠重現(xiàn)Windows的tcp協(xié)議棧的一些網(wǎng)絡(luò)行為，這里使用python的scapy進行包構(gòu)造撩撩Windows的tcp協(xié)議棧。scapy在tcp數(shù)據(jù)報文注入會有一點的時延，這個工具在要求時延嚴格的場景無法使用（還是packetdrill好用，囧）。針對目前遇到的場景，勉強能用，再則已經(jīng)擼慣了python，上手起來比較容易。

2. 基本語法

安裝scapy

在Centos 7.2中直接使用yum install 來安裝。

yum install scapy.noarch

help 能解決大部分問題

[root@localhost ~]# scapy
INFO: Can't import python gnuplot wrapper . Won't be able to plot.
INFO: Can't import PyX. Won't be able to use psdump() or pdfdump().
WARNING: No route found for IPv6 destination :: (no default route?)
Welcome to Scapy (2.2.0)
>>> help(send)

在大部分時候，如果看到不明白的地方，請用help。其次是官方的參考手冊

基本語法

ip/tcp/http數(shù)據(jù)包操縱

>>> IP()
<IP |>
>>>> IP()/TCP()
<IP frag=0 proto=tcp |<TCP |>>
>>>> IP(proto=55)/TCP()
<IP frag=0 proto=55 |<TCP >> 
>>>> Ether()/IP()/TCP()
<Ether type=IPv4 |<IP frag=0 proto=tcp |<TCP |>>>
>>>> IP()/TCP()/"GET /HTTP/1.0\r\n\r\n"   數(shù)據(jù)部分可以直接使用字符串
<IP frag=0 proto=tcp |<TCP |<Raw load='GET /HTTP/1.0\r\n\r\n' |>>> 
>>>> Ether()/IP()/UDP()
<Ether type=IPv4 |<IP frag=0 proto=udp |<UDP |>>>
>>>> Ether()/IP()/IP()/UDP()
<Ether type=IPv4 |<IP frag=0 proto=ipencap |<IP frag=0 proto=udp |<UDP |>>>>
>>> str(IP())
'E\x00\x00\x14\x00\x01\x00\x00@\x00|\xe7\x7f\x00\x00\x01\x7f\x00\x00\x01'
>>> IP(_)
<IP version=4L ihl=5L tos=0x0 len=20 id=1 flags= frag=0L ttl=64 proto=hopopt 
chksum=0x7ce7 src=127.0.0.1 dst=127.0.0.1 |>
>>> a=Ether()/IP(dst="www.baidu.com")/TCP()/"GET /index.html HTTP/1.0 \n\n"
>>> hexdump(a)
0000  00 03 0F 19 6A 49 08 00 27 FE D8 12 08 00 45 00  ....jI..'.....E.
0010  00 43 00 01 00 00 40 06 70 78 C0 A8 73 C6 B4 61  .C....@.px..s..a
0020  21 6C 00 14 00 50 00 00 00 00 00 00 00 00 50 02  !l...P........P.
0030  20 00 B3 75 00 00 47 45 54 20 2F 69 6E 64 65 78  ..u..GET /index
0040  2E 68 74 6D 6C 20 48 54 54 50 2F 31 2E 30 20 0A  .html HTTP/1.0 .
0050  0A                         .
>>> b=str(a)
>>> b
"\x00\x03\x0f\x19jI\x08\x00'\xfe\xd8\x12\x08\x00E\x00\x00C\x00\x01\x00\x00@\x06px
\xc0\xa8s\xc6\xb4a!l\x00\x14\x00P\x00\x00\x00\x00\x00\x00\x00\x00P\x02 \x00\xb3u
\x00\x00GET /index.html HTTP/1.0 \n\n"

1.數(shù)據(jù)包發(fā)送

數(shù)據(jù)包的發(fā)送主要包括以下函數(shù)send/sendp/sr/sr1/srp 主要區(qū)別是：

send函數(shù)工作在第三層

send(IP(dst="192.168.115.188")/ICMP())

sendp函數(shù)工作在第二層，你可以選擇網(wǎng)卡和協(xié)議

sendp(Ether()/IP(dst="192.168.115.188",ttl=(1,4)),iface="eth0")

fuzz函數(shù)的作用：可以更改一些默認的不可以被計算的值（比如校驗和checksums）,更改的值是隨機的，但是類型是符合字段的值的。

send(IP(dst="www.baidu.com")/UDP()/NTP(version=4),loop=2) #未使用fuzz()
send(IP(dst=" www.baidu.com")/fuzz(UDP()/NTP(version=4)),loop=2) #使用fuzz()

SR()函數(shù)用來來發(fā)送數(shù)據(jù)包和接收響應(yīng)。該函數(shù)返回有回應(yīng)的數(shù)據(jù)包和沒有回應(yīng)的數(shù)據(jù)包；該函數(shù)也算得上是scapy的核心了，他會返回兩個列表數(shù)據(jù)，一個是answer list 另一個是unanswered

>>> sr(IP(dst="192.168.115.1")/TCP(dport=[21,22,23]))
Begin emission:
Finished to send 3 packets.
***
Received 3 packets, got 3 answers, remaining 0 packets
Results: TCP:3 UDP:0 ICMP:0 Other:0>, Unanswered: TCP:0 UDP:0 ICMP:0 Other:0
>>> ans,unans=_  這也是scapy的核心了
>>> ans.show()
0000 IP / TCP 192.168.115.198:ftp_data > 192.168.115.1:ftp S ==> IP / TCP 192.168.115.1:ftp > 192.168.115.198:ftp_data RA / Padding
0001 IP / TCP 192.168.115.198:ftp_data > 192.168.115.1:ssh S ==> IP / TCP 192.168.115.1:ssh > 192.168.115.198:ftp_data RA / Padding
0002 IP / TCP 192.168.115.198:ftp_data > 192.168.115.1:telnet S ==> IP / TCP 192.168.115.1:telnet > 192.168.115.198:ftp_data SA / Padding 
>>>sr(IP(dst="192.168.115.1")/TCP(dport=[21,22,23]),inter=0.5,retry=-2,timeout=1) 網(wǎng)絡(luò)環(huán)境不好時，也可以追加inter retry timeout等附加信息，

函數(shù)sr1()是sr()一個變種，只返回應(yīng)答發(fā)送的分組（或分組集）。這兩個函數(shù)發(fā)送的數(shù)據(jù)包必須是第3層數(shù)據(jù)包（IP，ARP等）。而函數(shù)SRP()位于第2層（以太網(wǎng)，802.3，等）。

>>> p=sr1(IP(dst="192.168.115.188")/ICMP()/"test")
Begin emission:
.....Finished to send 1 packets.
.*
Received 7 packets, got 1 answers, remaining 0 packets
>>> p
<IP version=4L ihl=5L tos=0x0 len=32 id=26000 flags= frag=0L ttl=128 proto=icmp chksum=0x6c79 src=192.168.115.188 dst=192.168.115.198 options=[] |<ICMP type=echo-reply code=0 chksum=0x1826 id=0x0 seq=0x0 |<Raw load='test' |<Padding load='\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00' |>>>>
>>> p.show()
###[ IP ]###
 version= 4L
 ihl= 5L
 tos= 0x0
 len= 32
 id= 26000
 flags= 
 frag= 0L
 ttl= 128
 proto= icmp
 chksum= 0x6c79
 src= 192.168.115.188
 dst= 192.168.115.198
 \options\
###[ ICMP ]###
   type= echo-reply
   code= 0
   chksum= 0x1826
   id= 0x0
   seq= 0x0
###[ Raw ]###
    load= 'test'
###[ Padding ]###
      load= '\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00'

1.數(shù)據(jù)包sniff

a=sniff(count=1,filter="tcp and host 192.168.1.1 and port 80")

使用sniff主要是用于數(shù)據(jù)包的接收，根據(jù)filter設(shè)定的條件，將符合條件的數(shù)據(jù)包接收回來。

3. 場景構(gòu)造

scapy的缺點是，他只負責構(gòu)造包，是單向的。不像packetdrill這么完美，packetdrill 不但可以構(gòu)造包，還能實現(xiàn)系統(tǒng)調(diào)用構(gòu)造不同的場景，還能幫你檢查協(xié)議棧發(fā)出的數(shù)據(jù)包是否符合預(yù)期。撩協(xié)tcp協(xié)議棧的過程不外乎兩端，一端使用系統(tǒng)調(diào)用模擬協(xié)議棧行為，另外一端則是我們構(gòu)造的包。常見場景主要是：服務(wù)器場景、客戶端場景。

服務(wù)器場景：

服務(wù)器場景使用系統(tǒng)調(diào)用(即用戶態(tài)程序)，而客戶端則是scapy構(gòu)造的包。

在這里構(gòu)造一個簡單的三次握手后向服務(wù)器端發(fā)送數(shù)據(jù)。為了防止Linux客戶端rst。

iptables -A OUTPUT -p tcp --tcp-flags RST RST -s 192.168.56.1 -j DROP

#!/usr/local/bin/python
from scapy.all import *
# VARIABLES
src = sys.argv[1]
dst = sys.argv[2]
sport = random.randint(1024,65535)
dport = int(sys.argv[3])
# SYN
ip=IP(src=src,dst=dst)
SYN=TCP(sport=sport,dport=dport,flags='S',seq=1000)
SYNACK=sr1(ip/SYN)
# ACK
ACK=TCP(sport=sport, dport=dport, flags='A', seq=SYNACK.ack, ack=SYNACK.seq + 1)
send(ip/ACK)

在這里可以安裝一個nginx來驗證。

客戶端場景：

客戶端場景使用系統(tǒng)調(diào)用(即用戶態(tài)程序)，而服務(wù)器端則是scapy構(gòu)造包。

在這里使用scapy構(gòu)造一個簡單的http服務(wù)器。為了防止協(xié)議棧發(fā)送RST，需要對iptables進行設(shè)置。

iptables -A OUTPUT -p tcp --tcp-flags RST RST --sport 80 -j DROP

#!/usr/bin/python
from scapy.all import *
# Interacts with a client by going through the three-way handshake.
# Shuts down the connection immediately after the connection has been established.
# Akaljed Dec 2010, http://www.akaljed.wordpress.com
# Wait for client to connect.
a=sniff(count=1,filter="tcp and host 192.168.1.1 and port 80")
# some variables for later use.
ValueOfPort=a[0].sport
SeqNr=a[0].seq
AckNr=a[0].seq+1
# Generating the IP layer:
ip=IP(src="192.168.1.1", dst="192.168.1.2")
# Generating TCP layer:
TCP_SYNACK=TCP(sport=80, dport=ValueOfPort, flags="SA", seq=SeqNr, ack=AckNr, options=[('MSS', 1460)])
#send SYNACK to remote host AND receive ACK.
ANSWER=sr1(ip/TCP_SYNACK)
# Capture next TCP packets with dport 80. (contains http GET request)
GEThttp = sniff(filter="tcp and port 80",count=1,prn=lambda x:x.sprintf("{IP:%IP.src%: %TCP.dport%}"))
AckNr=AckNr+len(GEThttp[0].load)
SeqNr=a[0].seq+1
# Print the GET request
# (Sanity check: size of data should be greater than 1.)
if len(GEThttp[0].load)>1: print GEThttp[0].load
# Generate custom http file content.
html1="HTTP/1.1 200 OK\x0d\x0aDate: Wed, 29 Sep 2010 20:19:05 GMT\x0d\x0aServer: Testserver\x0d\x0aConnection: Keep-Alive\x0d\x0aContent-Type: text/html; charset=UTF-8\x0d\x0aContent-Length: 291\x0d\x0a\x0d\x0a<!DOCTYPE HTML PUBLIC \"-//W3C//DTD HTML 4.0//EN\"><html><head><title>Testserver</title></head><body bgcolor=\"black\" text=\"white\" link=\"blue\" vlink=\"purple\" alink=\"red\"><p><font face=\"Courier\" color=\"blue\">-Welcome to test server-------------------------------</font></p></body></html>"
# Generate TCP data
data1=TCP(sport=80, dport=ValueOfPort, flags="PA", seq=SeqNr, ack=AckNr, options=[('MSS', 1460)])
# Construct whole network packet, send it and fetch the returning ack.
ackdata1=sr1(ip/data1/html1)
# Store new sequence number.
SeqNr=ackdata1.ack
# Generate RST-ACK packet
Bye=TCP(sport=80, dport=ValueOfPort, flags="FA", seq=SeqNr, ack=AckNr, options=[('MSS', 1460)])
send(ip/Bye)
# The End

這個服務(wù)器只需要使用wget或者curl就可以實現(xiàn)驗證了。

4. 參考資料

http://www.secdev.org/projects/scapy/doc/usage.html#starting-scapy

https://akaljed.wordpress.com/2010/12/12/scapy-as-webserver/

http://lost-and-found-narihiro.blogspot.com/2012/12/scapy-simple-web-server-with-scapy.html

總結(jié)

以上就是這篇文章的全部內(nèi)容了，希望本文的內(nèi)容對大家的學習或者工作具有一定的參考學習價值，謝謝大家對腳本之家的支持。如果你想了解更多相關(guān)內(nèi)容請查看下面相關(guān)鏈接

您可能感興趣的文章: