7

我正在尝试使用 scapy 嗅探一个外出的 http 数据包,在其中添加一些新的 http 标头并将其发送。此处的目的是仅插入新标头,同时保持数据包完整。如果需要,最多应进行任何校验和重新计算。

已经解决了几乎所有关于 SO 的问题,但并没有完全得到解决方案。

以下是我所做的。

def parse(pkt):

    if pkt.haslayer(TCP) and pkt.getlayer(TCP).dport == 80 and pkt.haslayer(Raw):
        pkt = pkt / "New Header:value\r\n\r\n"

        # OR i tried this
        #pkt = pkt.getlayer(Raw).load / Raw.load(load="New Header:value\r\n\r\n")

        #pkt.getlayer(Raw).load("New Header:value\r\n\r\n")
        pkt.show()
        #del pkt[IP].chksum
        send(pkt)
#end parse function

# start sniffing
a=sniff(filter="tcp and ( port 80 )", prn=parse)

问题是上面的代码插入了一个新的原始有效负载部分,而不是添加一个普通的标头。根据 HTTP 标准,已经有一个双换行符 \r\n\r\n 来指示标头终止。

为了克服这个问题,我尝试通过执行以下操作删除最后一个 \r\n

   #pkt = pkt.getlayer(Raw).load[-2:] / Raw.load(load="New Header:value\r\n\r\n")

但这会剥离所有先前存在的标头,并且只保留“新标头”。

我在 Linux mint 上试过这个。

更新:我正在尝试创建一个新的 http 有效负载,其中包含以前的标头,我将添加一些。有人可以帮助如何删除现有图层

4

1 回答 1

6

如果我理解正确,您遇到的问题是您想使用新标头更新现有 HTTP 请求。您想要的是就地更新字符串,这是 Python 无法直接执行的(字符串是不可变的)。

所以你应该做的是获取 HTTP 标头:

old_hdr = pkt[Raw]或者old_hdr = pkt[TCP].payload

并像字符串一样操作它:

new_hdr = 'New Header: value'
hdr = old_hdr.split('\r\n') # This is a crappy hack. Parsing HTTP headers
hdr.insert(new_hdr, 2)      # is a [solved problem][1].
send_hdr = '\r\n'.join(hdr)
pkt[TCP].payload = send_hdr

如果您发现校验和没有更新,请在发送数据包之前将其删除:

del pkt[TCP].chksum

Scapy 会以正确的值将它们放回给你。

编辑:我刚刚注意到我的链接失败了。是解析 HTTP 标头的方法。

于 2012-10-25T13:53:42.900 回答