python 抓包 scapy udp,python+scapy 抓包與解析

最近一直在使用做流量分析，今天把 scapy 部分做一個總結。 python 的 scapy 庫可以方便的抓包與解析包，無奈資料很少，官方例子有限，大神博客很少提及， 經過一番嘗試后，總結以下幾點用法以便大家以后使用。

python scapy 抓包與解析

作為初學者，關心的首先是如何安裝，本人電腦系統是 fedora， 建議使用 linux。 推薦下載 pip，直接：(當然得在 su 權限下)

pip install scapy

在 terminal 中輸入 scapy， 如果有下面形式即安裝好了:

抓包

from scapy.all import *

dpkt = sniff(iface = "wlp7s0", count = 100)

sniff() 是 scapy 內置函數，有很多參數, 如圖：

這里就不一一解釋， iface 參數是網卡信息， 也就是 eth0 之類的， 我這里是 wlp7s0, count 參數是抓取的連接數量， 這里是 100， 還有 filter 參數是過濾等。

pcap 格式保存

wrpcap("demo.pcap", dpkt)

pcap 格式較為通用， 可以將上述抓取的包保存為 pcap,dpkt 是上面抓取的流量變量。

數據包解析

可以看到有 94 個 tcp 包， 4個 udp 包， 還有兩個其他類型的包。類似於 python 中的 list 類型， 可以使用下標訪問， 比如用 python 可寫個 for 循環遍歷每個連接。長度可以使用 len 計算

注意這里 dpkt 不是 list 類型， 也不是 string 類型， 因此如果要進行字符串處理，要把它轉換為 string 類型，

scapy強大地方在於可以通過字段來查看每一個字段信息，首先我們看一下它有那些字段：

可以使用 ls() 查看支持的協議類型，有很多，具體看幾個：

甚至還有硬件信息：

還有很多， 可以自己去看一下， 不附圖了。知道它有那些字段后， 就可以調用了，隨便舉個例子， 比如第四個連接 dpkt[3]

它的結構非常清楚，首先是 Ether 層， 然后是 IP 層， 然后是 TCP 層，訪問時就按張如圖就可以訪問各個字段信息。

要注意的是， 不是所有連接都是這幾個層， Ether 是都有的， 但是 udp 連接肯定就沒有 TCP 層， 而是改為 udp 層， ARP 包肯定就沒有 IP 層， 更沒有 TCP 層，如果再 arp 連接使用 dpkt[i][IP] 就會報錯， 因為它沒有 IP 這一層。python 使用時可以時使用 ether 的 type 判斷是不是 IP 包， 使用 ip 的 proto 判斷時 tcp 還是 udp。

訪問包中的報文可以使用 dpkt[i][Raw].load 字段， (假設第 i +1 個包有報文信息)，同樣，如果沒有報文信息， 就沒有 Raw 這一層，也就沒有 load 這一字段。比如這里：

第六個連接並沒有 Raw 數據，訪問出錯， 第七個有 Raw 數據，可以得到報文信息。

使用離線數據包

pcap = sniff(offline = "xx/xx.pcap")`