• python编写网络抓包分析脚本


    写网络抓包分析脚本,一个称手的sniffer工具是必不可少的,我习惯用Ethereal,简单,易用,基于winpcap的一个开源的软件

    • Ethereal自带许多协议的 decoder,但是它的架构并不灵活,如果你要加入一个自己定义的的解码器,得去修改Ethereal的代码,再重新编译,相当的烦琐

    • 对于一般的明文协议,没有什么问题,但是对于加密协议,比如网络游戏,客户端程序一般会在刚连接上的时候,发送一个随机密钥,而后的报文都会用这个密钥进 行加密,诸如此类.要想破解,得要有一个可编程的抓包器.libpcap是一个不错的选择,但是对于抓包这样需要反复进行”试验->修改”这个过程 的操作,c 语言显然不是明智的选择.

    Python提供了几个libpcap bind,http://monkey.org/~dugsong/pypcap/这里有一个最简单的。在windows平台上,你需要先安装winpcap,如果你已经安装了Ethereal,可以跳过这个步骤.非常好用

    1. import pcap ,struct
    2. pack=pcap.pcap()
    3. pack.setfilter('udp port 8000')
    4. print 'start capture....'
    5. for recv_time,recv_data in pack:
    6. data=recv_data[42:]
    7. if isqq(data):
    8. packhead,ver,id,sequence = struct.unpack('>BHHH', data[0:7])

    简单说明一下

    pcap还支持一些回调函数的用法,效率比较高,不过抓包不是为了效率,把事情做正确就行

      • 调用pack.setfilter填写filter字符串,libpcap/WinPcap的filter language采用的tcpdump相同的格式,可以去看它的 man page,Ethereal的帮助里面有一个简单的说明
      • data=recv_data[42:]这样做的原因是,recv_data 抓到的都是raw packet, tcp/ip是分了5层,一个udp包,会带有 14Bytes的 Ethenet_II Frame的头,然后是20个字节的ip包头,而udp包头有8个字节,所以偏移量42之后的才是udp的实际内容

        tcp包的包头大小为20Bytes,所以其实际内容在偏移量54之后

      • 报文的解析,可以用python自带的struct,很容易使用,当然可以安装 http://monkey.org/~dugsong/dpkt/ 这个包,已经帮你解析基本的报文信息
  • 相关阅读:
    如何在Odoo创建新数据的时候添加自己的方法
    如何在odoo中实现隐藏原有菜单meum(3行代码实现)
    博客皮肤
    通过备份 Etcd 来完美恢复 Kubernetes 中的误删数据
    修改kubernetes-dashboard默认token认证时间
    Docker就该这么学--第一个dockerfile镜像文件
    nginx优化之网络服务模型
    nginx优化之nginx的进程与线程
    php的加载方式和设计模式
    nginx优化之nginx的配置文件详解
  • 原文地址:https://www.cnblogs.com/timssd/p/4735422.html
Copyright © 2020-2023  润新知