2. 程式人生 > >如何利用Python嗅探(Sniffer)資料包

如何利用Python嗅探(Sniffer)資料包

阿新 發佈:2019-01-30

一提到Python獲取資料包的方式,相信很多Python愛好者會利用Linux的libpcap軟體包或利用Windows下的WinPcap可移植版的方式進行抓取資料包,然後再利用dpkt軟體包進行協議分析,我們這裡想換一個角度去思考:

    1. Python版本的pcap儲存記憶體資料過小,也就是說快取不夠,在高併發下容易發生丟包現象,其實C版本的也同樣存在這樣的問題,只不過Python版本的快取實在是過低,讓人很鬱悶。

    2. dpkt協議分析並非必須,如果你對RFC 791和RFC 793等協議熟悉的話,完全可以使用struct.unpack的方式進行分析。

    如果你平常習慣使用tcpdump抓取資料包的話,完全可以使用它來代替pcap軟體包,只不過我們需要利用tcpdump將抓取的資料以pcap格式進行儲存,說道這裡大家一定會想到Wireshark工具,具體命令如下:

1. tcpdump dst 10.13.202.116 and tcp dst port 80 -s 0 -i eth1 -w ../pcap/tcpdump.pcap -C 1k -W 5

    我們首先需要對pcap檔案格式有所瞭解,具體資訊大家可以參考其他資料文件,我這裡只說其重要的結構體組成,如下:

1. sturct pcap_file_header

2. {

3.     DWORD   magic;

4.     WORD    version_major;

5.     WORD    version_minor;

6.     DWORD   thiszone;

7.     DWORD   sigfigs;

8.     DWORD   snaplen;

9.     DWORD   linktype;

10. }

11. 

12. struct pcap_pkthdr

13. {

14.     struct timeval  ts;

15.     DWORD           caplen;

16.     DWORD           len;

17. }

18. 

19. struct timeval

20. {

21.     DWORD   GMTtime;

22.     DWORD   microTime;

23. }

    這裡需要說明的一點是,因為在Python的世界裡一切都是物件,所以往往Python在處理資料包的時候感覺讓人比較麻煩。

    至於對於如何監控tcpdump生成的pcap檔案資料,大家可以通過pyinotify軟體包來實現(相信大家一定對於rsync+inotify的組合比較熟悉),如下:

1. class Packer(pyinotify.ProcessEvent):

2.     def __init__(self, product):

3.         self.product = product

4.         self.process = None

5. 

6.     def process_IN_CREATE(self, event):

7.         logger.debug("create file: %s in queue" % self.process_IF_START_THREAD(event))

8. 

9.     def process_IN_MODIFY(self, event):

10.         self.process_IF_START_THREAD(event)

11.         logger.debug("modify file: %s in queue" % self.process_IF_START_THREAD(event))

12. 

13.     def process_IN_DELETE(self, event):

14.         filename = os.path.join(event.path, event.name)

15.         logger.debug("delete file: %s" % filename)

16. 

17.     def process_IF_START_THREAD(self, event):

18.         filename = os.path.join(event.path, event.name)

19. 

20.         if filename != self.process:

21.             self.process = filename

22.             self.product.put(filename)

23. 

24.             if self.product.qsize() > 1:

25.                 try:

26.                     logger.debug("create consumer product.qsize: %s" % self.product.qsize())

27.                     consumer = Consumer(self.product)

28.                     consumer.start()

29.                 except Exception, errmsg:

30.                     logger.error("create consumer failed: %s" % errmsg)

31. 

32.         return filename

33. 

34. class Factory(object):

35.     def __init__(self, product):

36.         self.product = product

37.         self.manager = pyinotify.WatchManager()

38.         self.mask = pyinotify.IN_CREATE | pyinotify.IN_DELETE | pyinotify.IN_MODIFY

39. 

40.     def work(self):

41.         try:

42.             try:

43.                 notifier = pyinotify.ThreadedNotifier(self.manager, Packer(self.product))

44.                 notifier.start()

45.                 self.manager.add_watch("../pcap", self.mask, rec = True)

46.                 notifier.join()

47.             except Exception, errmsg:

48.                 logger.error("create notifier failed: %s" % errmsg)

49.         except KeyboardInterrupt, errmsg:

50.             logger.error("factory has been terminated: %s" % errmsg)

    在獲得要分析的pcap檔案資料之後,就要對其分析了,只要你足夠了解pcap檔案格式就可以了,對於我們來講只需要獲得TCP資料段的資料即可,如下:

1. class Writer(threading.Thread):

2.     def __init__(self, product, stack):

3.         threading.Thread.__init__(self)

4.         self.product = product

5.         self.stack = stack

6.  

7.         self.pcap_pkthdr = {} 

8. 

9.     def run(self):

10.         while True:

11.             filename = self.product.get()

12.             try:

13.                 f = open(filename, "rb")

14.                 readlines = f.read()

15.                 f.close()

16.                 offset = 24

17.                 while len(readlines) > offset:

18.                     self.pcap_pkthdr["len"] = readlines[offset+12:offset+16]

19.                     try:

20.                         length = struct.unpack("I", self.pcap_pkthdr["len"])[0]

21.                         self.stack.put(readlines[offset+16:offset+16+length])

22.                         offset += length + 16

23.                     except Exception, errmsg:

24.                         logger.error("unpack pcap_pkthdr failed: %s" % errmsg)

25.             except IOError, errmsg:

26.                 logger.error("open file failed: %s" % errmsg)

    在獲得TCP資料段的資料包之後,問題就簡單多了,根據大家的具體需求就可以進行相應的分析了,我這裡是想分析其HTTP協議資料,同樣也藉助了dpkt軟體包進行分析,如下:

1. def worker(memcache, packet, local_address, remote_address):

2.     try:

3.         p = dpkt.ethernet.Ethernet(packet)

4.         if p.data.__class__.__name__ == "IP":

5.             srcip = "%d.%d.%d.%d" % tuple(map(ord, list(p.data.src)))

6.             dstip = "%d.%d.%d.%d" % tuple(map(ord, list(p.data.dst)))

7.             if p.data.data.__class__.__name__ == "TCP":

8.                 tcpacket = p.data.data

9.                 if tcpacket.dport == 80 and dstip == local_address:

10.                     srcport = tcpacket.sport

11.                     key = srcip + ":" + str(srcport)

12.                     if tcpacket.data:

13.                         if not memcache.has_key(key):

14.                             memcache[key] = {}

15. 

16.                         if not memcache[key].has_key("response"):

17.                             memcache[key]["response"] = None

18. 

19.                         if memcache[key].has_key("data"):

20.                             memcache[key]["data"] += tcpacket.data

21.                         else:

22.                             memcache[key]["data"] = tcpacket.data

23.                     else:

24.                         if memcache.has_key(key):

25.                             memcache[key]["response"] = dpkt.http.Request(memcache[key]["data"])

26.                             try:

27.                                 stackless.tasklet(connection)(memcache[key]["response"], local_address, remote_address)

28.                                 stackless.run()

29.                             except Exception, errmsg:

30.                                 logger.error("connect remote remote_address failed: %s", errmsg)

31.                             logger.debug("old headers(none content-length): %s", memcache[key]["response"])

32.                             memcache.pop(key)

33.     except Exception, errmsg:

34.         logger.error("dpkt.ethernet.Ethernet failed in worker: %s", errmsg)

    如果大家只是想單純的獲取IP地址、埠、流量資訊,那麼問題就更簡單了,這裡只是拋磚引玉。

摘自  放飛翅膀,追求夢想

相關推薦

如何利用Python(Sniffer)資料

一提到Python獲取資料包的方式,相信很多Python愛好者會利用Linux的libpcap軟體包或利用Windows下的WinPcap可移植版的方式進行抓取資料包,然後再利用dpkt軟體包進行協議分析,我們這裡想換一個角度去思考:     1. Python版本的pca

利用python sklearn 將類別資料轉換成one-hot資料

做資料預處理的時候,經常會遇到需要將類別特徵轉換成有意義的數值的情況,通過這樣使類別資料能夠用於後續的分類預測任務。目前應用得最多的就是將其轉換成one-hot編碼。以下是通過sklearn的方法很方便地實現。 首先讀取資料: housing = pd.read_csv(

利用Python班女神的QQ空間!就算她遮蔽了,也阻止不了我!

誰還沒暗戀過哪個妹子啊!當然那些暗戀的妹子應該稱做為女生,今天就教大家一個簡單的算是爬蟲的案例吧! 主要實現的功能就是:探班女神的 QQ空間,一旦女神釋出新的說說,你的郵箱馬上就會收到說說內容,是不是想了解一下 先看看程式碼執行效果圖: 更多Python視訊、原始碼、資料加

利用python指令碼執行tcpdump抓,支援傳參、併發抓取多個、檔案迴圈覆蓋抓取

#!/usr/bin/env python # AUTH: [email protected] """ tcpdump -i any -s 0 -w /opt/log/tcpdump/2018-07-19--10-43-30.pcap tcp and

Anaconda 利用python 向redis寫入資料小程式

# -*- coding: utf-8 -*- """ Created on Wed Sep 12 11:27:05 2018 @author: guo """ import numpy as np import redis ,datetime def randomf(x): #

利用Python遞迴下載資料夾下所有檔案

最近想備份網站,但是php下載檔案的大小是有大小限制的,而我也懶得裝ftp再下載了,就想著暫時弄個二級域名站,然後用python(python3)的requests庫直接下載網站根目錄下的所有檔案以及資料夾。(0-0就是這麼任性) 1.安裝requests庫 pip instal

利用Python爬取房產資料!並在地圖上顯示!Python乃蒂花之秀!

    JiwuspiderSpider.py # -*- coding: utf-8 -*- from scrapy import Spider,Request import re from jiwu.items import JiwuItem clas

利用python實現兩個資料夾的同步

其實無論windows還是Linux,簡單地去實現兩個兩個資料夾的同步只需系統自帶的複製命令加引數就可以了。 WINDOWS : xcopy 原始檔夾\* 目標資料夾 /s /e /y Linux : cp -r 原始檔夾/* 目標資料夾 這裡使用python

利用python檢查檔案或資料夾是否存在

在深度學習中,我們經常會用到判斷一個檔案或者資料夾是否存在,如果不存在的話那麼我們需要建立一個。那麼判斷檔案和資料夾是否存在常用的有哪些函數了?這裡逐一給您娓娓道來。 0. 準備 首先我們建立如下所示的層級結構,我們在/home/os_test之下,建立起一個資料夾di

如何利用python下載股票交易資料

前段時間玩Python時無意看到了獲取股票交易資料的tushare模組,由於自己對股票交易挺有興趣,加上現在又在做資料探勘工作,故想先將股票資料下載到資料庫中,以便日後分析: 昨天試了下單執行緒下載股票資料,但由於獲取資料量較大,所需時間特別長,這次用多執行緒實試試

利用Python對QQ空間資料進行分析,瞭解你的QQ好友

對如下內容進行了分析: 好友發說說月份統計 好友所屬星座統計 好友手機裝置統計 好友發說說小時統計 對好友的好友進行統計 本人對於Python學習建立了一個小小的學習圈子,為各位提供了一個平臺,大家一起來討論學習Python。歡迎各位到來Python學習群:96041

Linux下和MySQL下利用python插入億萬級資料

##下載mysqldb 首先必須下載mysqldb,下載語句是 yum install MySQL-python 安裝之後,在命令列輸入 #>>>python #接下來是python

利用 Python 中 Bokeh 實現資料視覺化,第二部分:互動

原文地址:Data Visualization with Bokeh in Python, Part II: Interactions 原文作者:Will Koehrsen 譯文出自:掘金翻譯計劃 本文永久連結:github.com/xitu/gold-m… 譯者:Sta

利用python/pandas/numpy做資料分析(三)-透視表pivot_table

透視表,根據一個或多個鍵進行聚合,並根據行列上的分組鍵將資料分配到各個矩形區域中. import numpy as np data=pd.DataFrame(np.arange(6).reshape((2,3)), index

利用Python進行NBA比賽資料分析

分享一下我老師大神的人工智慧教程!零基礎,通俗易懂!http://blog.csdn.net/jiangjunshow 也歡迎大家轉載本篇文章。分享知識,造福人民,實現我們中華民族偉大復興!        

利用Python互轉Json資料格式

一、將Python物件轉換成json物件 import json def python_to_json(): """ 將python物件轉換成json """ d = {

利用python.os.listdir獲取資料夾中所有檔名

利用內建os的listdir可以獲取資料夾中的檔名,從而可以利用檔名對資料做進一步的處理,比如:在貓狗識別的練習過程中,需要通過檔名對貓狗資料進行分類。 def get_file(file_dir): dogs = [] cats = []

【轉】利用python的KMeans和PCA實現聚類算法

transform from clas 圖片 不同 pos efi highlight python實現 轉自:https://www.cnblogs.com/yjd_hycf_space/p/7094005.html 題目: 通過給出的駕駛員行為數據(t

Python黑帽程式設計 4.1 Sniffer(器)之資料捕獲(上)

Python黑帽程式設計 4.1 Sniffer(嗅探器)之資料捕獲(上) 網路嗅探,是監聽流經本機網絡卡資料包的一種技術,嗅探器就是利用這種技術進行資料捕獲和分析的軟體。 編寫嗅探器,捕獲資

利用Python學習資料勘【0】

相信看到這篇文章的你一定是對資料分析,資料探勘有興趣,或者想從事和方面。本文不再累述python對資料分析的重要,資料分析這門的由來之類的。 在這裡,我單刀直入,已我學習資料探勘3年來的經歷告訴大家怎麼去學,以讓大家少走彎路。純個人見解,如有不對,還請各位留言指教。 話不多說,直接放圖。