最近一直在使用做流量分析，今天把 scapy 部分做一個總結(jié)。

Python 的 scapy 庫可以方便的抓包與解析包，無奈資料很少，官方例子有限，大神博客很少提及， 經(jīng)過一番嘗試后，總結(jié)以下幾點用法以便大家以后使用。

python scapy抓包與解析

作為初學(xué)者，關(guān)心的首先是如何安裝，本人電腦系統(tǒng)是 fedora， 建議使用 linux。

推薦下載 pip，直接：（當(dāng)然得在 su 權(quán)限下）

pip install scapy

在 terminal 中輸入 scapy， 如果有下面形式即安裝好了:

抓包

from scapy.all import *
dpkt = sniff(iface = "wlp7s0", count = 100)

sniff() 是 scapy 內(nèi)置函數(shù)，有很多參數(shù), 如圖：

這里就不一一解釋， iface 參數(shù)是網(wǎng)卡信息， 也就是 eth0 之類的， 我這里是 wlp7s0, count 參數(shù)是抓取的連接數(shù)量， 這里是 100， 還有 filter 參數(shù)是過濾等。

pcap 格式保存

wrpcap("demo.pcap", dpkt)

pcap 格式較為通用， 可以將上述抓取的包保存為 pcap,dpkt 是上面抓取的流量變量。

數(shù)據(jù)包解析

可以看到有 94 個 tcp 包， 4個 udp 包， 還有兩個其他類型的包。

類似于 python 中的 list 類型， 可以使用下標(biāo)訪問， 比如用 python 可寫個 for 循環(huán)遍歷每個連接。

長度可以使用 len 計算

注意這里 dpkt 不是 list 類型， 也不是 string 類型， 因此如果要進(jìn)行字符串處理，要把它轉(zhuǎn)換為 string 類型，

scapy強大地方在于可以通過字段來查看每一個字段信息，首先我們看一下它有那些字段：

可以使用 ls() 查看支持的協(xié)議類型，有很多，具體看幾個：

甚至還有硬件信息：

還有很多， 可以自己去看一下， 不附圖了。

知道它有那些字段后， 就可以調(diào)用了，隨便舉個例子， 比如第四個連接 dpkt[3]

它的結(jié)構(gòu)非常清楚，首先是 Ether 層， 然后是 IP 層， 然后是 TCP 層，訪問時就按張如圖就可以訪問各個字段信息。

要注意的是， 不是所有連接都是這幾個層， Ether 是都有的， 但是 udp 連接肯定就沒有 TCP 層， 而是改為 udp 層， ARP 包肯定就沒有 IP 層， 更沒有 TCP 層，如果再 arp 連接使用 dpkt[i][IP] 就會報錯， 因為它沒有 IP 這一層。

python 使用時可以時使用 ether 的 type 判斷是不是 IP 包， 使用 ip 的 proto 判斷時 tcp 還是 udp。

訪問包中的報文可以使用 dpkt[i][Raw].load 字段， （假設(shè)第 i +1 個包有報文信息），同樣，如果沒有報文信息， 就沒有 Raw 這一層，也就沒有 load 這一字段。比如這里：

第六個連接并沒有 Raw 數(shù)據(jù)，訪問出錯， 第七個有 Raw 數(shù)據(jù)，可以得到報文信息。

使用離線數(shù)據(jù)包

pcap = sniff(offline = "xx/xx.pcap")`

總結(jié)

以上為個人經(jīng)驗，希望能給大家一個參考，也希望大家多多支持腳本之家。

最新評論