Обнюхивание пакетов в Python (Windows)

Question

Каков наилучший способ прослушивания сетевых пакетов с использованием Python?

Я слышал из нескольких мест, что лучшим модулем для этого является модуль под названием Scapy, к сожалению, он вызывает сбой python.exe в моей системе. Я бы предположил, что это просто проблема с тем, как я его установил, за исключением того, что многие другие люди сказали мне, что это не особенно хорошо работает в Windows. (Если кому-то интересно, я использую Windows Vista, что может повлиять на ситуацию).

Кто-нибудь знает лучшее решение?

UPD:

Прочитав ответ, говорящий мне об установке PyPcap, я немного повозился с ним и обнаружил, что Scapy, который я пытался использовать, тоже велел мне установить PyPcap, за исключением того, что это модифицированная версия для его использования. , По-видимому, именно этот модифицированный PyPcap вызывал проблему, поскольку пример в ответе также вызывал зависание.

Я установил оригинальную версию PyPcap (с сайта Google), и Scapy начал работать нормально (я не пробовал много вещей, но, по крайней мере, он не вылетал, как только начал нюхать). Я отправил новый дефектный билет разработчикам Scapy: http://trac.secdev.org/scapy/ticket/166, надеюсь, что они могут что-то с этим сделать.

В любом случае, просто подумал, что дам вам знать.

Answer 1

Трудный путь

Вы можете прослушать все IP-пакеты, используя необработанный сокет.
Raw-сокет - это сокет, который отправляет и получает данные в двоичном формате.
Двоичный код в python представлен в виде строки, которая выглядит следующим образом: \x00\xff ... каждый \x.. является байтом.
Для считывания IP-пакета необходимо проанализировать полученный пакет в двоичном формате в соответствии с протоколом IP.

Это изображение формата протокола IP с размером в битах каждого заголовка.

Формат протокола IP http://cfs13.blog.daum.net/image/6/blog/2008/04/26/19/15/481300a2a7674&filename=IP_Header.png

Этот учебник может помочь вам понять процесс понимания необработанного пакета и разбиения его на заголовки: http://www.binarytides.com/python-packet-sniffer-code-linux/

Простой способ

Другой способ очень легко перехватить IP-пакеты - использовать модуль scapy.

from scapy.all import *
sniff(filter="ip", prn=lambda x:x.sprintf("{IP:%IP.src% -> %IP.dst%\n}")

Этот код распечатает для вас IP-адрес источника и IP-адрес назначения для каждого IP-пакета. С scapy вы можете сделать гораздо больше, прочитав его документацию здесь: http://www.secdev.org/projects/scapy/doc/usage.html

Это зависит от цели, которую вы пытаетесь достичь, но если вам нужно построить проект, то его возможностями является анализ IP-пакетов, тогда я рекомендую использовать scapy для более стабильных скриптов.

Answer 2

Использование pypcap :

import dpkt, pcap
pc = pcap.pcap()     # construct pcap object
pc.setfilter('icmp') # filter out unwanted packets
for timestamp, packet in pc:
    print dpkt.ethernet.Ethernet(packet)

образец вывода:

Ethernet(src='\x00\x03G\xb2M\xe4', dst='\x00\x03G\x06h\x18', data=IP(src='\n\x00\x01\x1c',
dst='\n\x00\x01\x10', sum=39799, len=60, p=1, ttl=128, id=35102, data=ICMP(sum=24667,
type=8, data=Echo(id=512, seq=60160, data='abcdefghijklmnopqrstuvwabcdefghi'))))

Ethernet(src='\x00\x03G\x06h\x18', dst='\x00\x03G\xb2M\xe4', data=IP(src='\n\x00\x01\x10',
dst='\n\x00\x01\x1c', sum=43697, len=60, p=1, ttl=255, id=64227, data=ICMP(sum=26715,
data=Echo(id=512, seq=60160, data='abcdefghijklmnopqrstuvwabcdefghi'))))

Answer 3

Использовать python-libpcap .

import pcap

p = pcap.pcapObject()
dev = pcap.lookupdev()
p.open_live(dev, 1600, 0, 100)
#p.setnonblock(1)
try:
    for pktlen, data, timestamp in p:
        print "[%s] Got data: %s" % (time.strftime('%H:%M', 
                                                   time.localtime(timestamp)),
                                     data)
except KeyboardInterrupt:
    print '%s' % sys.exc_type
    print 'shutting down'
    print ('%d packets received, %d packets dropped'
           ' %d packets dropped by interface') % p.stats()

Answer 4

вы можете использовать необработанные сокеты с IP-адресом вашего интерфейса (в режиме администратора),

import socket
s = socket.socket(socket.AF_INET,socket.SOCK_RAW,socket.IPPROTO_IP)
s.bind(("YOUR_INTERFACE_IP",0))
s.setsockopt(socket.IPPROTO_IP,socket.IP_HDRINCL,1)
s.ioctl(socket.SIO_RCVALL,socket.RCVALL_ON)
while True:
   data = s.recvfrom(10000)
   print data

Answer 5

Если scapy, пожалуйста, попробуйте следующий метод. (Работает на Windows 10)

# -*- coding: utf-8 -*-

# pip install scapy

"""
[{'name': 'Intel(R) 82574L Gigabit Network Connection',
  'win_index': '4',
  'description': 'Ethernet0',
  'guid': '{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}',
  'mac': '00:0C:29:5C:EE:6D',
  'netid': 'Ethernet0'}]
"""

from pprint import pprint
from scapy.arch.windows import get_windows_if_list
from scapy.all import *


# disable verbose mode
conf.verb = 0


def parse_packet(packet):
    """sniff callback function.
    """
    if packet and packet.haslayer('UDP'):
        udp = packet.getlayer('UDP')
        udp.show()


def udp_sniffer():
    """start a sniffer.
    """
    interfaces = get_windows_if_list()
    pprint(interfaces)

    print('\n[*] start udp sniffer')
    sniff(
        filter="udp port 53",
        iface=r'Intel(R) 82574L Gigabit Network Connection', prn=parse_packet
    )


if __name__ == '__main__':
    udp_sniffer()

Answer 6

Другой вариант - pypcap .

Чтобы разобрать результаты, Конструкция очень гладкая.