尝试使用Python scapy 包中 sniff 函数写个简单的抓包程序,sniff 抓取数据包并写入本地文件

1. 安装scapy,windows7 系统需要先安装 npcap,pip 之后 ,简单尝试scapy命令,发现提示 warning: No route found ,网上都是ipv6的问题,自己尝试解决,运行scapy的conf.route命令,结果只有一个虚拟网卡,其他网卡信息没有读取,估计是npcap的问题, 在安装npcap时提示win7需要kb4474419补丁,下载安装后问题解决。

2. 使用sniff函数,可以在filter 中定义抓取的条件,在抓取过程中使用回调函数完成写入文件操作。

3. sniff不会识别http层,需要安装scapy_http 包,pip安装后发现没有用,查看源码

bind_layers(TCP, HTTP, dport=80)
bind_layers(TCP, HTTP, sport=80)

原来是绑定了端口,看看源码大概是通过raw层头部信息来判断,如 有get post字符的是http request。放弃http包,自己尝试写在回调函数中

4. tcp 传输过程中会有1500字节最大传输单元限制,包括tcp头部信息等内容,单次传输大概1480字节,分片传输后在重新组合。在抓包的数据中分辨不出来是http request还是http response,使用wireshark软件查看,这种分片情况会标记 tcp segment of a reassembled PDU,可以通过ip 端口等信息判断,对于同一源ip端口和目的源ip端口,相同的接收长度ack,发送长度seq不同的数据包为tcp分片传输。写入文件时标记[tcp segment],上一数据包seq ack信息字典形式保存到内存中

源码如下

from scapy.all import *
from io import StringIO
import json
def fun_scapy():print('start sniff packet')if os.path.isfile('D:/packet.txt'):os.remove('D:/packet.txt')sniff(filter='host 192.168.1.100',prn=callback)def callback(packet):global buffwith open('D:/packet.txt','a') as f:s = packet.summary()if packet.haslayer('TCP'):tcp_seq = packet['TCP'].seqtcp_ack = packet['TCP'].acklast_seq_ack_key = str(packet['IP'].src) + str(packet['IP'].sport) +          str(packet['IP'].dst) + str(packet['IP'].dport)if 'buff' in globals().keys():last_seq_ack = buff.getvalue()last_seq_ack = json.loads(last_seq_ack)else:last_seq_ack={last_seq_ack_key:('','')}if packet.haslayer('Raw'):raw_data = packet['Raw'].loadindex = raw_data.find('\r\n\r\n'.encode())if index != -1:r= raw_data[:index+4].decode()pattern_request = re.compile(r"^(?:OPTIONS|GET|HEAD|POST|PUT|DELETE|TRACE|CONNECT) "r"(?:.+?) "r"(HTTP/\d\.\d)")pattern_reponse = re.compile(r"^HTTP/\d\.\d \d\d\d .*")if pattern_request.match(r):f.write(s + ' seq:' + str(tcp_seq) + ' ack:' + str(tcp_ack) + ' len:' + str(len(raw_data)) +' HTTP Request'+'\n')elif pattern_reponse.match(r):f.write(s + ' seq:' + str(tcp_seq) + ' ack:' + str(tcp_ack) + ' len:' + str(len(raw_data)) + ' HTTP Reponse' + '\n')else:f.write(s + ' seq:' + str(tcp_seq) + ' ack:' + str(tcp_ack) + ' len:' + str(len(raw_data)) +'\n')try:r = r + raw_data[index+4:].decode()except Exception as e:r = r + str(raw_data[index+4:])f.write(r + '\n')else:last_seq = last_seq_ack[last_seq_ack_key][0]last_ack = last_seq_ack[last_seq_ack_key][1]if tcp_seq != last_seq and tcp_ack == last_ack:append_info = ' [TCP segment]'else:append_info = ''try:r = raw_data.decode()except Exception as e:r = str(raw_data)f.write(s + ' seq:' + str(tcp_seq) + ' ack:' + str(tcp_ack) + ' len:' + str(len(raw_data)) +append_info+ '\n')f.write(r +'\n')else:f.write(s+' seq:'+str(tcp_seq)+' ack:'+str(tcp_ack)+' len:0'+'\n')last_seq_ack[last_seq_ack_key] = (tcp_seq,tcp_ack)last_seq_ack = json.dumps(last_seq_ack)buff = StringIO(last_seq_ack)else:f.write(s+'\n')f.write('\n')print(packet.summary())if __name__ == '__main__':fun_scapy()

Python scapy抓包程序相关推荐

  1. python 抓包 scapy udp,python+scapy 抓包與解析

    最近一直在使用做流量分析,今天把 scapy 部分做一個總結. python 的 scapy 庫可以方便的抓包與解析包,無奈資料很少,官方例子有限,大神博客很少提及, 經過一番嘗試后,總結以下幾點用法 ...

  2. python scapy 抓包_Python3下基于Scapy库完成网卡抓包解析

    Scapy是一个可以让用户发送.侦听和解析并伪装网络报文的Python程序.这些功能可以用于制作侦测.扫描和攻击网络的工具. 在 Python 代码中可以通过 sniff 函数调用抓包分析,并对抓到的 ...

  3. python scapy 抓包_python 抓包保存为pcap文件并解析的实例

    首先是抓包,使用scapy模块, sniff()函数 在其中参数为本地文件路径时,操作为打开本地文件 若参数为BPF过滤规则和回调函数,则进行Sniff,回调函数用于对Sniff到的数据包进行处理 i ...

  4. python+scapy 抓包与解析

    http://blog.csdn.net/b0rn_t0_w1n/article/details/51348015

  5. Windows和夜神模拟器上抓包程序mitmproxy的安装以及使用

    ** windows ** 一.介绍说明 mitmproxy是一个支持HTTP和HTTPS的抓包程序,有类似Fiddler.Charles的功能,只不过它是一个控制台的形式操作. mitmproxy还 ...

  6. python获取子进程返回值_Python 从subprocess运行的子进程中实时获取输出的例子 Python如何抓取程序的输出?...

    关于python中用subprocess调用exe子进程的问题不懂我的人有什么资格对我指指点点,不了解我的人凭什么对我说三道四的. python杀死子进程后继续执行后面程序 程序a(python写成) ...

  7. Linux系统无线网络抓包程序(分析手机WIFI MAC地址)

    前面讲述了使用tcpdump和wireshark抓WIFI包,但这只是使用工具的层面,再深一层则是自己写代码实现这个功能.本文在前面文章<Linux系统有线网络抓包程序>的基础上添加实现无 ...

  8. Java 实现抓包程序

    前言 本学期计算机网络要求写一个抓包程序,我通过网上查阅资料,如何实现抓包,实现了一个较为简单的抓包程序. 项目准备 1. 首先得有 java 编译环境,安装并配置好 jdk:2. 需要安装 Winp ...

  9. (网络实验)基于Jnetpcap的网络嗅探器(抓包程序)设计与实现

    基于Jnetpcap的网络嗅探器(抓包程序)设计与实现 作者:程哥哥 学号:xxxx 引言: 此程序是由自己编写的个人网络嗅探器,相当于著名的包捕获软件Wireshark的简化版,界面参考至别人的博客 ...

最新文章

  1. 机器学习_周志华_问题汇总_第1周
  2. 【CV】PAA论文解读:在物体检测中利用概率分布来将anchor分配为正负样本
  3. linux make 命令行 定义宏(-D)传递给C源代码 简介
  4. SpringMVC的请求-文件上传-文件上传的原理
  5. python实现倒n字形排列_Leetcode问题库——Z形变换(Python),补充X形变换,字形
  6. java中fmt标签库_jsp fmt标签详解
  7. php---header函数的示例代码
  8. Java虚拟机(JVM)(自动内存管理机制)
  9. 终结者:使用slf4j+log4j完美构建日志
  10. 【Python】高级函数
  11. FinalData 数据恢复工具[绿色版]
  12. 【HAVENT原创】kubernetes docker 常用指令
  13. 厦门大学2019年数学分析考研试题
  14. java base64转图片
  15. 综合架构-高可用服务
  16. C/C++编程:异步编程入门
  17. ABAP SY标签一览表
  18. 201621123031 《Java程序设计》第5周学习总结
  19. R语言实战笔记 多项式回归
  20. windows-problem :电脑上网的无线图标带有黄色星号,但不影响正常上网!

热门文章

  1. HotSpot C2编译器
  2. Excel平均值运算2种操作,不会函数也可轻松上手
  3. 安科瑞ANSVC无功补偿装置的应用
  4. 手写数字识别增强版项目实践规划
  5. scrapy爬取知名问答网站(解决登录+保存cookies值+爬取问答数据)--完整版完美解决登录问题
  6. python小项目:MakeCode小游戏——躲砖块
  7. MySQL事务的隔离级别
  8. Keil的各种下载版本资源
  9. mysql中in嵌套多层时_sql 嵌套查询 in
  10. echars 柱状图正常状态 --》二次封装