码迷,mamicode.com
首页 > 编程语言 > 详细

python编写网络抓包分析脚本

时间:2015-08-17 06:26:38      阅读:936      评论:0      收藏:0      [点我收藏+]

标签:

写网络抓包分析脚本,一个称手的sniffer工具是必不可少的,我习惯用Ethereal,简单,易用,基于winpcap的一个开源的软件

  • Ethereal自带许多协议的 decoder,但是它的架构并不灵活,如果你要加入一个自己定义的的解码器,得去修改Ethereal的代码,再重新编译,相当的烦琐

  • 对于一般的明文协议,没有什么问题,但是对于加密协议,比如网络游戏,客户端程序一般会在刚连接上的时候,发送一个随机密钥,而后的报文都会用这个密钥进 行加密,诸如此类.要想破解,得要有一个可编程的抓包器.libpcap是一个不错的选择,但是对于抓包这样需要反复进行”试验->修改”这个过程 的操作,c 语言显然不是明智的选择.

Python提供了几个libpcap bind,http://monkey.org/~dugsong/pypcap/这里有一个最简单的。在windows平台上,你需要先安装winpcap,如果你已经安装了Ethereal,可以跳过这个步骤.非常好用

  1. import pcap ,struct
  2. pack=pcap.pcap()
  3. pack.setfilter(‘udp port 8000‘)
  4. print ‘start capture....‘
  5. for recv_time,recv_data in pack:
  6. data=recv_data[42:]
  7. if isqq(data):
  8. packhead,ver,id,sequence = struct.unpack(‘>BHHH‘, data[0:7])

简单说明一下

pcap还支持一些回调函数的用法,效率比较高,不过抓包不是为了效率,把事情做正确就行

    • 调用pack.setfilter填写filter字符串,libpcap/WinPcap的filter language采用的tcpdump相同的格式,可以去看它的 man page,Ethereal的帮助里面有一个简单的说明
    • data=recv_data[42:]这样做的原因是,recv_data 抓到的都是raw packet, tcp/ip是分了5层,一个udp包,会带有 14Bytes的 Ethenet_II Frame的头,然后是20个字节的ip包头,而udp包头有8个字节,所以偏移量42之后的才是udp的实际内容

      tcp包的包头大小为20Bytes,所以其实际内容在偏移量54之后

    • 报文的解析,可以用python自带的struct,很容易使用,当然可以安装 http://monkey.org/~dugsong/dpkt/ 这个包,已经帮你解析基本的报文信息

python编写网络抓包分析脚本

标签:

原文地址:http://www.cnblogs.com/x113/p/4735422.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!