scapy

每次写博客都是源于纳闷，python解析pcap这么常用的例子网上竟然没有，全是一堆命令行执行的python，能用吗？玩呢？ pip安装scapy，然后解析pcap： import scapyfrom scapy.all import *from scapy.utils import PcapReaderpackets=rdpcap("./test.pcap")for data in packets: if 'UDP' in data: s = repr(data) print(s) print(data['UDP'].sport) break 打印s，是为了看到所有的字段： Ether dst=ff:ff:ff:ff:ff:ff src=30:fc:68:33:7a:e2 type=0x800 |IP version=4 ihl=5 tos=0x0 len=143 id=37312 flags= frag=0 ttl=64 proto=udp chksum=0x644d src=192.168.1.1 dst=192.168.1.255 options=[] |UDP sport=1024 dport=5001 len=123 chksum=0x3051 |Raw load='\x01\x01\x0e\x00\xe1+\x83\xc7\xb2\x9f\x00e\x00\x00\x00\x06\x00\tTL-WR886N\x00\x0b\x00\x035.0\x00\x07\x00\x01\x01\x00\x05\x00\x1130-fc-68-33-7a-e2\x00\x08\x00\x0b192.168.1.1\x00\t\x00\ntplogin.cn\x00\n\x00\rTL-WR886N 5.0\x00\x0c\x00\x051.7.3' | 然后就能用data['UDP'].sport打印udp的源端口了。 现在基本的……

python3版本的Scapy--Scapy3k来实现一个简单的DDos。 首先实现SYN泛洪攻击（SYN Flood，是一直常用的DOS方式之一，通过发送大量伪造的TCP连接请求，使被攻击主机资源耗尽的攻击方式）。TCP三次握手的过程在这里就不再赘述，SYN攻击则是客户端向服务器发送SYN报文之后就不再响应服务器回应的报文，由于服务器在处理TCP请求时，会在协议栈留一块缓冲区来存储握手的过程，如果超过一定的时间没有接收到客户端的报文，那么本次连接在协议栈中存储的数据就会被丢弃。攻击者如果利用这段时间发送了大量的连接请求，全部挂起在半连接状态，这样将不断消耗服务器资源，直到拒接服务。 Scapy是一个强大的交互式数据包处理程序，可以用来发送、嗅探、解析和伪造网络数据包。首先需要安装Scapy3k： sudo pip3 install scapy-python3 现在学习一下scapy的使用方法： sudo……

本文实例讲述了Python基于scapy实现修改IP发送请求的方法。分享给大家供大家参考，具体如下： 今天同事想测试WAF的页面统计功能，所以需要模拟多个IP向多个域名发送请求，也就是需要修改源IP地址。这个如果使用socket库就比较麻烦了， 需要使用raw socket，相当麻烦。还好咱有scapy，轻松搞定。 DOMAIN是我随机构造的域名库，SOURCE也是随机构造的源IP地址。 #!/usr/bin/env python#-*-encoding:UTF-8-*-from scapy.all import *from threading import Threadfrom Queue import Queueimport randomimport stringUSER_AGENTS = ( # items used for picking random HTTP User-Agent header value "Mozilla/5.0 (Macintosh; U; Intel Mac OS X 10_7_0; en-US) AppleWebKit/534.21 (KHTML, like Gecko) Chrome/11.0.678.0 Safari/534.21", "Mozilla/5.0 (Windows; U; MSIE 9.0; Windows NT 9.0; en-US)", "Mozilla/5.0 (Windows; U; Windows NT 5.0; en-US; rv:0.9.2) Gecko/20020508 Netscape6/6.1", "Mozilla/5.0 (X11;U; Linux i6……

1. 前言 如果只需要研究Linux的tcp协议栈行为，只需要使用packetdrill就能够满足我的所有需求。packetdrill才是让我随心所欲地撩tcp协议栈。packetdrill的简单使用手册。 然而悲剧的是，除了要研究Linux的TCP协议栈行为，还需要研究Windows的tcp协议栈的行为，Windows不开源，感觉里面应该有挺多未知的坑。 为了能够重现Windows的tcp协议栈的一些网络行为，这里使用python的scapy进行包构造撩撩Windows的tcp协议栈。scapy在tcp数据报文注入会有一点的时延，这个工具在要求时延严格的场景无法使用（还是packetdrill好用，囧）。针对目前遇到的场景，勉强能用，再则已经撸惯了python，上手起来比较容易。 2. 基本语法 安装scapy 在Centos 7.2中直接使用yum install 来安装。 yum install scapy.noarch help 能解决大部分问题 [root@localhost ~]# scapyINFO: Can't import python gnuplot wrapper . Won't be able to plot……

问题： 测试时 收发流采用TestCenter、SmartBit等仪表来进行。如果仍采用其进行自动化冒烟，则会带来效率低、成本高的问题。 解决方案： 采用网卡来收发流，虽然有性能统计上的缺陷，但可以验证一些基本功能，且经济。 采用scapy模块， 1-获取计算机网卡的iface，并预先设计好用哪些iface进行收发流； 2-conf.L2listen对各个iface进行监听 3-subprocess.Popen来调用tShark.exe启动抓包，也可以调用ping.exe构造ping包 4-sendp发送二层报文，send发送三层报文 5-sniff嗅探iface上的指定报文，可以有过滤条件 6-停止wireshark抓包 7-close关闭对iface的监听 讨论： 没有尝试采用sr1、srp来进行收发包。 整个过程相对比较清晰，而且步骤是成对出现，方便记忆。 sniff嗅探时，会丢掉iface前面出现的部分报文，这个问题可能是没有执行好监听和启动抓包导致。 没有对网卡的具体性能标准作……

一、实验原理。 本次用代码实现的是ARP网关欺骗，通过发送错误的网关映射关系导致局域网内其他主机无法正常路由。使用scapy中scapy.all模块的ARP、sendp、Ether等函数完成包的封装与发送。一个简单的ARP响应报文发送： eth = Ether(src=src_mac, dst=dst_mac)#赋值src_mac时需要注意，参数为字符串类型arp = ARP(hwsrc=src_mac, psrc=src_ip, hwdst=dst_mac, pdst=dst_ip, op=2)#src为源，dst为目标，op=2为响应报文、1为请求pkt = eth / arpendp(pkt) 因为实验时发现主机并不会记录来自网关的免费ARP报文，无奈只有先想办法把局域网内存在的主机的IP-MAC映射关系拿到手，再逐个发送定向的ARP响应报文。 二、运行结果。 1先查看网关，确保有网： 2因为socket需要sudo权限，所以以root权限跑起来： 3因为代码写的比较繁琐，跑起来就比现场的工具慢很多，最后看下局域网内主机的arp表： 网关172.16.0.254的……