我试图在“python”上创建一个小嗅探器,以删除我的路由器用来向我发送一个副本的所有流过它的数据包的 tzsp 封装。问题是我想使用 ossim 和 snort 来分析流量,并且想解封装数据包并将其发送到 snort 正在侦听的虚拟接口。
我已经有了嗅探器,但没有找到剥离 tzsp 标头以获取原始数据包并在之后发送的方法。我看到其他人在 perl 上做过这个,但不知道如何在 scapy 上做同样的事情。
它基本上删除了前 5 个字节。
# --- 剪切 TZSP 字节 my $tzspheader = substr $udp->{data}, 0, 5; 我的 $tzspdata = substr $udp->{data}, 5;
完整的 perl 脚本 -> http://wiki.mikrotik.com/wiki/Calea_perl_trafr
我可以使用 pkt scapy 格式作为数组吗?如果我删除了路由器接收到的数据包的标头,我可以使用 scapy 直接发送它还是我必须根据原始数据包协议创建一个 emtpy 数据包并将每个字段复制到新的?
谢谢你们