0

我有点像 Python 新手,但我已经开始了一个小型个人项目来自学更多知识。基本上,我正在使用套接字和 impacket 编写一个数据包嗅探器。但是,我遇到的一个特殊点是:将标头和数据包的输出组合到一个变量中(我在想一本字典,但它不喜欢那样...),这样我就可以简单地搜索一个特定的部分源 IP(即前两个八位字节)的 IP 标头。或者会有更有效的方法来处理这个问题吗?任何帮助表示赞赏。:-)

编辑:当我尝试字典时,我正在做

ip_dict = { header: packet }

但是,我得到的输出类似于:

{<impacket.ImpactPacket.IP instance at 0x02563440>: <impacket.ImpactPacket.Data instance at 0x02563530>}

与所述IP头和数据的实际输出相反。

HOST = socket.gethostbyname(socket.gethostname())

s = socket.socket(socket.AF_INET, socket.SOCK_RAW, socket.IPPROTO_IP)
s.bind((HOST, 0))

while True:

    # Include IP headers
    s.setsockopt(socket.IPPROTO_IP, socket.IP_HDRINCL, 1)

    # receive all packages
    s.ioctl(socket.SIO_RCVALL, socket.RCVALL_ON)

    # receive a packet
    packet = s.recvfrom(42028)[0]

    # look at IP info
    h_decode = ImpactDecoder.IPDecoder()
    header = h_decode.decode(packet)

    # disabled promiscuous mode
    s.ioctl(socket.SIO_RCVALL, socket.RCVALL_OFF)

    decoder = ImpactDecoder.DataDecoder()
    packet = decoder.decode(packet)

    print header
    print packet

    time.sleep(1)
4

1 回答 1

0

字典是一组键/值对。当你使用

ip_dict = { header: packet }

您告诉它构建一个字典,其中标头实例作为键,数据包实例作为值,它就是这样做的:

{<impacket.ImpactPacket.IP instance at 0x02563440>: <impacket.ImpactPacket.Data instance at 0x02563530>}

如果你想从这些实例中获取一些东西,你必须自己提取它。例如,虽然我以前从未使用过该impacket库,但这些对象似乎有很多方法存在于其中。例如【压制实数和数据,用废话代替】:

In [25]: z
Out[25]: <impacket.ImpactPacket.IP instance at 0xb6151fac>

In [26]: z.[here I hit TAB in the IPython interpreter]
z.add_option              z.get_ip_offmask          z.set_bytes_from_string
z.auto_checksum           z.get_ip_p                z.set_checksum_from_data
z.calculate_checksum      z.get_ip_rf               z.set_ip_address
z.child                   z.get_ip_src              z.set_ip_df
z.compute_checksum        z.get_ip_sum              z.set_ip_dst
z.contains                z.get_ip_tos              z.set_ip_hl
z.ethertype               z.get_ip_ttl              z.set_ip_id
z.fragment_by_list        z.get_ip_v                z.set_ip_len
z.fragment_by_size        z.get_long                z.set_ip_mf
z.get_buffer_as_string    z.get_packet              z.set_ip_off
z.get_byte                z.get_pseudo_header       z.set_ip_offmask
z.get_bytes               z.get_size                z.set_ip_p
z.get_data_as_string      z.get_word                z.set_ip_rf
z.get_header_size         z.is_BSD                  z.set_ip_src
z.get_ip_address          z.list_as_hex             z.set_ip_sum
z.get_ip_df               z.load_header             z.set_ip_tos
z.get_ip_dst              z.normalize_checksum      z.set_ip_ttl
z.get_ip_hl               z.packet_printable        z.set_ip_v
z.get_ip_id               z.parent                  z.set_long
z.get_ip_len              z.protocol                z.set_parent
z.get_ip_mf               z.set_byte                z.set_word
z.get_ip_off              z.set_bytes               

In [26]: z.get_ip_src()
Out[26]: '1.2.3.4' # fake

In [27]: z.get_ip_dst()
Out[27]: '5.6.7.8' # fake

In [29]: z.get_data_as_string()
Out[29]: '\x00abcde' # fake

我不知道其中一半的方法是做什么的,或者其中哪些很重要,但是您可以轻松地根据自己的喜好构建字典:

In [31]: {(z.get_ip_src(), z.get_ip_dst()): z.get_bytes()}
Out[31]: 
{('1.2.3.4',
  '5.6.7.8'): array('B', [1,2,3,4,5,6,7,8])} # fake

或组合来自 IPDecoder 和 DataDecoder 的位,无论如何。关键是问题不在于 Python 字典,而在于impacket库的数据结构,以及您想从中提取什么信息。文档可能会描述如何获得您需要的东西。

于 2012-08-28T19:58:37.237 回答