信息安全工具开发 任务讲解与实施（课中） Scapy解析HTTP流量(PPT).pptxVIP

知识点：Scapy解析HTTP流量;;;Scapy是一个强大的交互式数据包处理程序（使用python编写）。它能够伪造或者解码大量的网络协议数据包，能够发送、捕捉、匹配请求和回复包等等。它可以很容易地处理一些典型操作，比如端口扫描，tracerouting，探测，单元 测试，攻击或网络发现（可替代hping，NMAP，arpspoof，ARP-SK，arping，tcpdump，tethereal，P0F等）。 Scapy可以单独使用，也可以在python中调用。;编写一个 Python 脚本来解析 HTTP 流量，审查 HTTP 的 GET 头是否有 某些特定文件名或后缀名，以此来发现和追踪安全事件。为此，我们将使用Dpkt 库。 ;#encoding=utf-8 import scapy.all as scapy try: import scapy_http.http except ImportError: from scapy.layers import http packets = scapy.rdpcap(./http.pcap) ; rdpcap(filename, count=-1) Read a pcap file and return a packet list count: read only count packets print packets[46].show() 分析代码： 代码很简单，先读取pcap包，再利用show函数分层次打印pcap文件的内容;运行代码如下： ;第一层是网络层，包含源、目的mac、ip协议号 第二层是tcp层 第三层包含端口号、http报文 其中每一层均为上一层的payload成员;我们再来看另一段代码，把http报文转换成十进制字符串显示，下面是运行效果 ;我们再来看一段简单发包的实例 import sys import struct from scapy.all import * data = struct.pack(=BHI, 0x12, 20, 1000) pkt = IP(src=1, dst=0)/UDP(sport=12345,dport=5555)/data send(pkt, inter=1, count=5) ;上面的代码由1:12345向0:5555发送UDP包，用户数据为: 0x12 : unsigned short 20 : unsigned char 1000 : unsigned int 间隔1 s，发送5次。 ;