库:是Python的一个库,独立运行的工具(在Linux中,将scapy当作一个独立的工具来使用,可以不依赖Python)
使用场景:网络扫描、攻击工具
可以在自己程序中实现对网络数据包的发送、监听、解析,构建能够进行探测、扫描、攻击的网络工具。
Scapy是可以直接操作到数据包层次的工具,可以构造符合自己的数据包(泛指帧、段、报文等)
协议:通信时参与者必须遵守的规则集合,不同协议主要体现在产生的数据包的顺序与格式不同
层次:当QQ在登录时,会产生数据包。当多个协议存在于同一个数据包时,为了解析方便,分为不同层次
举例:以TCP/IP协议族为例,是一个4层协议模型,上层协议使用下次协议提供的服务
应用层 | DNS DHCP HTTP HTTPS |
传输层 | TCP UDP |
网络层 | IP ICMP |
链路层 | ARP RARP |
分层后构造数据包会很简单。一个数据包并不是必须同时包含这四层协议,也不是同一层只能包含1个协议
在kali中,命令:scapy,可以启动Scapy编程环境
使用“类+属性”的方式构造数据包,在scapy中每一个网络协议就是一个类,协议中的字段就对应着属性。只需要实例化一个协议类,就可以创建一个该协议类型的数据包
例如,构造一个IP数据包
IP()
选择"from 模块 import 类"的形式导入
from scapy.all import IP
pkt=IP()
print(pkt)
对于IP来说,最重要的属性是源地址和目标地址,这两个属性在Scapy中使用参数src和dst来设置
要构造一个发往192.168.x.x的IP数据包
ip=IP(dst="192.168.x.x")
查看数据包格式的函数ls(),不了解如何为一个IP数据包指定目标地址的时候
from scapy.all import IP,ls
pkt=IP()
ls(pkt)
scapy采用分层的方式构造数据包,通常最底层的协议是Ether--》IP--》TCP/UDP
使用Ether(),这个类可以设置发送方和接收方的MAC地址。产生一个广播数据包,命令如下
Ether(dst="ff:ff:ff:ff:ff:ff")
分层是通过"/"实现的。如果一个数据包是由多层协议组合而成,就可以用“/”分开,并按照协议由底而上的顺序从左向右排列
使用Ether()/IP()/TCP()来构造一个TCP数据包
from scapy.all import *
pkt=Ether()/IP()/TCP()
ls(pkt)
构造一个HTTP数据包
pkt=IP()/TCP()/"GET / HTTP/1.0\r\n\r\n"
Ether:属性有 源地址、目标地址和类型
IP:属性有 源地址、目标地址、版本、长度、协议类型、校验和
TCP:源端口、目标端口
ls()函数:查看一个类所拥有的属性,ls(Ether())
lsc()函数:列出所有可以使用的函数
对属性列表里对应的属性进行设置,将ttl的值设置为32
pkt=IP(src="192.168.x.x",dst="192.168.y.y",ttl=32)
raw()函数:表示以字节格式来显示数据包内容,print(raw(pkt))
hexdump()函数:表示以十六进制数据表示的数据包内容,print(hexdump(pkt))
summary()函数:使用不超过一行的摘要内容来简单描述数据包,pkt.summary()让使用者可以简单明了地知晓数据包的内容
show()函数:使用展开视图的方式显示数据包的详细信息,比较常用的方法,使用者可以快速看到每一个属性的值,pkt.show()
show2()函数:作用与show()基本相同,使用pkt.show2()会显示数据包的校验和
command()函数:看到一个数据包,不知道如何使用命令来产生相同的数据包时。显示出构造该数据包的命令。pkt.command()还原pkt的构造命令
wrpcap()函数:使用scapy会捕获到大量的数据包,这些数据包需要保存起来,例如网络取证的时候。例如数据包临时存在pkts中,wrpcap("temp.cap",pkts)就可以将pkts中的数据包写入文件temp.cap
rdpcap()函数:读取数据包文件的功能。例如pkts=rdpcap("temp.cap")读取temp.cap文件中的数据包
send()函数:用来发送IP数据包。将IP地址作为目标时。只发不收
sendp()函数:用来发送Ether数据包。将MAC地址作为目标时。只发不收
构造一个目标地址为:192.168.x.x的ICMP数据包,并将其发送出去
from scapy.all import *
pkt=IP(dst="192.168.x.x")/ICMP()
send(pkt)
sendp(Ether(dst="ff:ff:ff:ff:ff:ff"))
发送成功会显示:Sent 1 packets
sr()函数:用于IP地址。是Scapy的核心,返回值是两个列表,第一个列表收到了应答的数据包和对应的应答数据包,第二个列表包含未收到应答的数据包。可以使用两个列表来保存sr()函数的返回值。
例如,向192.168.x.x(可以ping通的地址)发送一个ICMP数据包
数据包发送出去之后,scapy会监听接收到的数据包。Reveived表示收到的数据包个数,answers表示对应此次发送数据包的应答数据包
from scapy.all import *
pkt=IP(dst="192.168.x.x")/ICMP()
ans,unans=sr(pkt) #使用ans,unans列表来保存sr()函数返回的值。
#发送出去的是ICMP数据包,收到了一个应答数据包,发送的数据包和收到的数据包都被保存到了ans列表中
ans.summary() #查看两个数据包的内容。uans列表空
srl()函数:用于IP地址,使用与sr()类似。只返回一个应答数据包,只需使用一个列表就可以保存这个函数的返回值
srp()函数:用于MAC地址
在自己的程序中捕获经过本机网卡的数据包。sniff()。过滤会有局限性
filter参数对数据包过滤。指定只捕获与192.168.x.x有关的数据包:sniff(filter="192.169.x.x")
sniff(filter="",iface="any",prn=function,count=N)
指定要使用的网卡,默认为第一块网卡
表示对捕获到的数据包进行处理的函数,可以使用Lambda表达式
例如将获取到的数据包输出
sniff(filter="icmp",prn=lambda x:x.summary())
若函数较长,可以定义成回调函数,回调函数以接收到的数据包对象作为唯一的参数,最后再调用sniff()函数
def packet_callback(pkt):
print(pkt.summary)
sniff(prn=packet_callback)
用来监听到数据包的数量,达到指定的数量就会停止监听。
例如只希望监听到10个数据包就停止
sniff(count=10)
设计一个综合的监听器,它会在网卡eth0上监听源地址或目标地址为192.168.1.1的ICMP数据包并输出,当收到了3个这样的数据包之后,就会停止监听。
创建的监听器如下:
sniff(filter="icmp and host 192.168.1.1",prn==lambda x:x.summary(),count=3)
概念:自然语言接近的语法,这种语法构成的字符串可以确定保留哪些数据包以及忽略那些数据包
Type:表示指代的对象,例如IP、子网、端口等。常见host(用来表示主机名和IP地址)、net(用来表示子网)、port(用来表示端口)。如果没有指定,默认为host
Dir:表示数据包传输的方向,常见src(源地址)和dst(目的地址)。如果没有指定,默认为src or dst。例如192.168.x.x表示的是匹配源地址或者目标地址为192.168.x.x的数据包
Proto:表示与数据包匹配的协议类型,常见的是Ether、IP、TCP、ARP
指的是进行测试的实际内容。例如:一个IP地址192.168.1.1 ,一个子网192.168.1.0/24或者一个端口号8080,都是常见的标识符
常见的原语:host 192.168.1.1 和port 8080
and、or、not把多个原语组成一个更复杂的过滤语句
实例:
参考书籍:《Python渗透测试实战》 作者李华峰