python渗透测试入门——流量嗅探器

冬雨财经 · 2023-3-7 00:26:18

1.代码及代码讲解。
代码编写工具：VsCode
（1）socket嗅探器
首先第一个脚本是最简单的原始socket嗅探器，它只会读一个数据包，然后直接退出：

import socket
import os
#host to listen on
HOST = ''<br>#这里输入自己的IP地址<br>
def main():
#create raw socket, bin to public interface
if os.name == 'nt':
socket_protocol = socket.IPPROTO_IP
else:
socket_protocol = socket.IPPROTO_ICMP
sniffer = socket.socket(socket.AF_INET,socket.SOCK_RAW.socket_protocol)
sniffer.bind((HOST,0))
#include the IP header in the capture
sniffer.setsockopt(socket.IPPROTO_IP,socket.IP_HDRINCL,1)
if os.name =='nt':
sniffer.ioctl(socket.SIO_RCVALL,socket.RCVALL_ON)
#read one packet
print(sniffer.recvfrom(65565))
if os.name == 'nt':
sniffer.ioctl(socket.SIO_RCVALL,socket.RCVALL_OFF)
if __name__ == '__main__':
main()

复制代码

注意：这里Windows和Linux的区别是，前者允许我们嗅探任何协议的所有流入数据，而后者强制我们指定一个协议来嗅探，这里指定的是ICMP。
上面这只是一个非常简单的嗅探器，那我们将对它的功能进行进一步的拓展。
（2）ip解码器

import ipaddress
import os
import socket
import struct
import sys
#定义了一个Python结构，把数据包的前20个字节映射到IP头对象中。展示目前的通信协议和通信双方的IP地址
class IP:
def __init__(self, buff=None):
header = struct.unpack('<BHHHBBH4s4s', buff)
self.ver = header[0] >> 4
self.ihl = header[0] & 0xF
self.tos = header[1]
self.len = header[2]
self.id = header[3]
self.offset = header[4]
self.ttl = header[5]
self.protocol = header[6]
self.sum = header[7]
self.src = header[8]
self.dst = header[9]
# human readable IP addresses
#使用新打造的IP头结构，将抓包逻辑改成持续抓包和解析
self.src_address = ipaddress.ip_address(self.src)
self.dst_address = ipaddress.ip_address(self.dst)
# map protocol constants to their names
self.protocol_map = {1: "ICMP", 6: "TCP", 17: "UDP"}
try:
self.protocol = self.protocol_map[self.protocol_num]
except Exception as e:
print('%s No protocol for %s' % (e, self.protocol_num))
self.protocol = str(self.protocol_num)
def sniff(host):
# should look familiar from previous example
if os.name == 'nt':
socket_protocol = socket.IPPROTO_IP
else:
socket_protocol = socket.IPPROTO_ICMP
sniffer = socket.socket(socket.AF_INET,socket.SOCK_RAW,socket_protocol)
sniffer.bind((host,0))
sniffer.setsockopt(socket.IPPROTO_IP, socket.IP_HDRINCL, 1)
if os.name == 'nt':
sniffer.ioctl(socket.SIO_RCVALL, socket.RCVALL_ON)
try:
while True:
# read a packet
#将前20字节转换成IP头对象
raw_buffere = sniffer.recvfrom(65535)[0]
# create an IP header from the first 20 bytes
ip_header = IP(raw_buffere[0:20])
# print the detected protocol and hosts
#打印抓取信息
print('Protocol: %s %s -> %s' % (ip_header.protocol, ip_header.src_address, ip_header.dst_address))
except KeyboardInterrupt:
# if we're on Windows, turn off promiscuous mode
if os.name == 'nt':
sniffer.ioctl(socket.SIO_RCVALL,socket.RCVALL_OFF)
sys.exit()
if __name__ == '__main':
if len(sys.argv) == 2:
host = sys.argv[1]
else:
host = ''
sniffer(host)

复制代码

在理解这一部分的内容之前，我们首先要了解一个python库。struct库：struct库提供了一些格式字符，用来定义二进制数据的结构。这个库在解码，密码学方面经常会用到。
注：在struct库里，不存在对应于nybble格式（即4个二进制位组成的数据块，也叫作nibble）的格式字符。

self.ver = header[0] >> 4

复制代码

对于IP头的第一个字节，我们只想取高位nybble（整个字节里的第一个nybble）作为ver的值。取某字节高位nybble的常规方法是将其向右位移4位，相当于在该字节的开头填4个0，把其尾部的4位挤出去。这样我们就得到了原字节的第一个nybble。

self.ihl = header[0] & 0xF

复制代码

我们想把低位nybble（或者说原字节的最后4个二进制位）填进hdrlen里，取某个字节低位nybble的常规方法是将其与数字0xF（00001111）进行按位与运算。它利用了0 AND 1 = 0的特性（0代表假，1代表真）。想要AND表达式为真，表达式两边都必须为真。所以这个操作相当于删除前4个二进制位，因为任何数AND 0都得0；它保持了最后4个二进制位不变，因为任何数AND 1还是原数字。
（3）解码ICMP
[code]import ipaddressimport os import socketimport structimport sys#定义了一个Python结构，把数据包的前20个字节映射到IP头对象中。展示目前的通信协议和通信双方的IP地址class IP: def __init__(self, buff=None): header = struct.unpack('

		自动登录	找回密码
密码			立即注册

python渗透测试入门——流量嗅探器

0 个回复

快速回复

楼主热帖

标签云