scapy 是 python 处理网络包最常用且灵活的工具,适用于嗅探、分析和协议解析。其核心使用方法包括:1. 安装 scapy 并确保以管理员权限运行;2. 使用 sniff() 函数捕获数据包并实时或按数量处理;3. 通过 haslayer() 和 getlayer() 提取特定协议字段进行深度分析;4. 利用 filter 参数实现流量过滤提升效率;5. 使用 wrpcap() 将数据包保存为 .pcap 文件以便后续分析。
Python 要处理网络包,特别是做嗅探和分析这类底层操作,最常用也最灵活的工具之一就是 Scapy。它不仅能构造、发送和捕获数据包,还能解析各种协议结构,非常适合做网络调试、安全测试或者学习网络协议。
下面我从几个常见使用场景出发,讲讲怎么用 Scapy 嗅探和分析网络包。
安装 Scapy 和权限准备
Scapy 是一个 Python 库,安装方式很简单:
立即学习“Python免费学习笔记(深入)”;
pip install scapy
不过要注意的是,Scapy 需要管理员权限才能进行嗅探,也就是说你在 Linux 或 macOS 上要用 sudo 执行脚本,在 Windows 上则需要用管理员身份运行命令行或 IDE。
另外,如果你是在虚拟机或者某些云环境中,可能还需要启用混杂模式(Promiscuous Mode)才能抓到所有流量。
简单嗅探:捕获基本的数据包
Scapy 提供了一个 sniff() 函数,可以快速开始监听网络接口上的数据包。
比如,想看看当前网卡上流过的所有流量,可以用这段代码:
from scapy.all import sniff packets = sniff(count=10) # 捕获10个包后停止 packets.summary()
-
count=10表示只抓10个包。 -
summary()会显示每个包的基本信息,比如源地址、目标地址、协议类型等。
如果你想一直抓包,可以去掉 count 参数:
sniff(prn=lambda x: x.summary()) # 实时打印每个包的摘要
这种方式适合快速查看网络活动,但还不能做深度分析。
深度分析:提取特定协议字段
Scapy 的优势在于它能层层解析数据包结构。例如,你想找出所有的 TCP 包,并查看它们的源端口和目的端口,可以这样做:
def process_packet(packet):
if packet.haslayer('TCP'):
tcp_layer = packet.getlayer('TCP')
print(f"Source Port: {tcp_layer.sport}, Destination Port: {tcp_layer.dport}")
sniff(prn=process_packet, count=20)这样就能逐层访问数据包内容了。你也可以检查 IP 层、UDP、ICMP、DNS 等协议字段。
常见的组合判断有:
packet.haslayer('IP')packet.haslayer('Ether')packet.haslayer('DNS')
你可以根据这些判断来做不同的处理逻辑,比如只记录 DNS 请求的域名。
过滤与保存:提升效率和后续分析
有时候你只想抓某类包,比如 HTTP 或者 DNS 流量,可以在 sniff() 中加上 filter 参数:
sniff(filter="tcp port 80", prn=process_packet)
这个例子中只会捕获 HTTP 流量(默认是 TCP 80 端口)。支持的过滤语法和 tcpdump 一样,非常强大。
另外,你还可以把抓到的包保存成 .pcap 文件,方便用 Wireshark 等工具进一步分析:
wrpcap('output.pcap', packets)这在调试复杂问题时特别有用。
基本上就这些。Scapy 功能很多,但核心就是这几个点:捕获、过滤、解析、保存。刚开始用的时候可能会觉得结构有点绕,但只要理解了分层结构,用起来就很顺手了。
