《Python網(wǎng)絡(luò)滲透編程》 課件 6.1網(wǎng)絡(luò)嗅探腳本的編寫

網(wǎng)絡(luò)嗅探腳本的編寫網(wǎng)絡(luò)嗅探的原理安裝各種專業(yè)的安全軟件系統(tǒng)及時更新補(bǔ)丁口令盡可能復(fù)雜在流量攻擊面前，這些防護(hù)就會顯得無能為力網(wǎng)絡(luò)嗅探的原理與其他設(shè)備進(jìn)行通信時就會產(chǎn)生流量當(dāng)這些流量脫離了你的計(jì)算機(jī)后，其安全就不能得到有效的保障網(wǎng)絡(luò)嗅探的原理流量嗅探敏感數(shù)據(jù)網(wǎng)絡(luò)嗅探的原理互聯(lián)網(wǎng)中的流量都是以數(shù)據(jù)包的形式傳送的，流量嗅探是對數(shù)據(jù)包中的流量進(jìn)行數(shù)據(jù)分析的一種手段。網(wǎng)絡(luò)嗅探的原理通過現(xiàn)成的網(wǎng)絡(luò)嗅探工具或者自編的網(wǎng)絡(luò)嗅探腳本可以捕獲到目標(biāo)網(wǎng)絡(luò)中的數(shù)據(jù)包只要能夠掌握數(shù)據(jù)包的協(xié)議格式，就能夠分析出這些數(shù)據(jù)所表示的意義網(wǎng)絡(luò)嗅探的原理基本原理讓網(wǎng)卡接收一切所能接收的數(shù)據(jù)網(wǎng)卡的工作原理計(jì)算機(jī)A源地址：A目的地址：CData計(jì)算機(jī)B計(jì)算機(jī)C計(jì)算機(jī)D一般網(wǎng)卡工作模式網(wǎng)卡的工作原理計(jì)算機(jī)A源地址：A目的地址：CData計(jì)算機(jī)B計(jì)算機(jī)C計(jì)算機(jī)D混雜(Promiscuous)模式混雜模式怎樣使網(wǎng)絡(luò)中的數(shù)據(jù)全部到達(dá)嗅探者的主機(jī)網(wǎng)絡(luò)嗅探的原理計(jì)算機(jī)A計(jì)算機(jī)B計(jì)算機(jī)C嗅探者的計(jì)算機(jī)HUB在共享式網(wǎng)絡(luò)中，無須采取特別措施就能在一臺計(jì)算機(jī)上嗅探到其他計(jì)算機(jī)上的數(shù)據(jù)混雜模式共享式網(wǎng)絡(luò)中的嗅探這種嗅探是被動式的，被嗅探者無法發(fā)現(xiàn)網(wǎng)絡(luò)嗅探的原理交換機(jī)只會把數(shù)據(jù)幀發(fā)往接收者所在的端口交換式網(wǎng)絡(luò)中的嗅探其他端口的主機(jī)都無法接收到數(shù)據(jù)，嗅探者也無法實(shí)現(xiàn)嗅探網(wǎng)絡(luò)嗅探的原理計(jì)算機(jī)A計(jì)算機(jī)B計(jì)算機(jī)C嗅探者的計(jì)算機(jī)HUB交換機(jī)只會把數(shù)據(jù)幀發(fā)往接收者所在的端口交換式網(wǎng)絡(luò)中的嗅探其他端口的主機(jī)都無法接收到數(shù)據(jù)，嗅探者也無法實(shí)現(xiàn)嗅探網(wǎng)絡(luò)嗅探的原理通過MAC泛洪攻擊，使得交換機(jī)像HUB一樣工作，這樣嗅探者就能夠接收到其他端口發(fā)過來的數(shù)據(jù)交換式網(wǎng)絡(luò)中的嗅探網(wǎng)絡(luò)嗅探的原理網(wǎng)絡(luò)嗅探工具編寫網(wǎng)絡(luò)嗅探腳本網(wǎng)絡(luò)嗅探腳本的編寫sniff(count=0,store=1,offline=None,prn=None,filter=None,L2socket=None,timeout=None,opened_socket=None,stop_filter=None,iface=None)sniff()函數(shù)網(wǎng)絡(luò)嗅探腳本的編寫sniff()函數(shù)參數(shù)含義count指定抓取數(shù)據(jù)包的數(shù)量，設(shè)置為0時則一直捕獲store保存抓取的數(shù)據(jù)包或者丟棄，1為保存，0為丟棄offline從pcap文件中讀取數(shù)據(jù)包，而不進(jìn)行嗅探，默認(rèn)為Noneprn為每個數(shù)據(jù)包定義一個回調(diào)函數(shù)filter流量的過濾規(guī)則，使用BPF(BerkeleyPacketFilter,柏克利封包過濾器)的語法L2socket使用給定的L2sockettimeout在給定的時間后停止嗅探，默認(rèn)為Noneopened_socket對指定的對象使用.recv進(jìn)行讀取stop_filter定義一個函數(shù)，決定在抓到指定的數(shù)據(jù)之后停止iface指定抓包的網(wǎng)卡,不指定則代表所有網(wǎng)卡在IDLE環(huán)境中試用函數(shù)網(wǎng)絡(luò)嗅探腳本的編寫在IDLE的交互界面輸入這樣一條語句，通過VMnet8這個網(wǎng)卡嗅探目的地址為192.168.137.140的數(shù)據(jù)包在Windows的命令行界面中發(fā)送ping命令，sniff函數(shù)就開始捕獲數(shù)據(jù)包網(wǎng)絡(luò)嗅探腳本的編寫想看到實(shí)時的數(shù)據(jù)，我們需要加上prn參數(shù)，可以用一個lambda表達(dá)式調(diào)用summary函數(shù)來讀取結(jié)果捕獲結(jié)果使用sniff函數(shù)的注意事項(xiàng)網(wǎng)絡(luò)嗅探腳本的編寫01filter參數(shù)必不可少，否則會得到大量的無用數(shù)據(jù)，不利于我們對數(shù)據(jù)的分析網(wǎng)絡(luò)嗅探腳本的編寫02如果你的計(jì)算機(jī)上有多個網(wǎng)卡，一定要利用iface參數(shù)指明使用網(wǎng)卡的名字，否則可能什么數(shù)據(jù)也捕獲不到網(wǎng)絡(luò)嗅探腳本的編寫03sniff()捕獲到的數(shù)據(jù)實(shí)際上是scapy.plist.PacketList類的對象，從它的名字可以看出它是一個列表網(wǎng)絡(luò)嗅探腳本的編寫查看列表數(shù)據(jù)包內(nèi)容summary()方法show()方法網(wǎng)絡(luò)嗅探腳本的編寫查看列表數(shù)據(jù)包內(nèi)容查看第1行的數(shù)據(jù)可以使用packet[1].show()方法網(wǎng)絡(luò)嗅探腳本的編寫查看列表數(shù)據(jù)包內(nèi)容訪問每層協(xié)議packet[1][協(xié)議名]訪問每層協(xié)議的各字段packet[1][協(xié)議名].字段名訪問IP層的源地址packet[1][IP].src網(wǎng)絡(luò)嗅探腳本的編寫04如果需要在程序中分析數(shù)據(jù)，則會需要更多的代碼來處理數(shù)據(jù)，我們可以定義一個回調(diào)函數(shù)，然后讓prn參數(shù)調(diào)用即可在捕獲到ping數(shù)據(jù)包后，僅顯示源地址和目的地址網(wǎng)絡(luò)嗅探腳本的編寫04如果需要在程序中分析數(shù)據(jù)，則會需要更多的代碼來處理數(shù)據(jù)，我們可以定義一個回調(diào)函數(shù)，然后讓prn參數(shù)調(diào)用即可在捕獲到ping數(shù)據(jù)包后，僅顯示源地址和目的地址網(wǎng)絡(luò)嗅探腳本的編寫05除了將返回的數(shù)據(jù)包顯示出來，還可以將這些數(shù)據(jù)包保存，用專業(yè)的工具查看、分析這些數(shù)據(jù)包目前最為通用的文件格式為