8

我想知道是否有可能在没有 root 权限的情况下运行 Scapy 的 'sniff(...)'。

它用于捕获某些包的应用程序中。但我不想以 root 权限运行整个应用程序或更改 scapy 本身的任何内容。

提前致谢!

编辑:

对于测试,我使用以下代码:

from scapy.all import *

def arp_monitor_callback(pkt):
    if ARP in pkt and pkt[ARP].op in (1,2): #who-has or is-at
        return pkt.sprintf("%ARP.hwsrc% %ARP.psrc%")

sniff(prn=arp_monitor_callback, filter="arp", store=0)

我只能使用 sudo 运行它。

我试图用sudo setcap 'cap_net_admin=+eip' test.py. 但它没有显示任何效果。即使是all能力也无济于事。

4

2 回答 2

12

您需要为运行脚本的二进制文件设置功能,即:python 和 tcpdump 如果您希望能够将脚本执行为./test.py

setcap cap_net_raw=eip /usr/bin/pythonX.X
setcap cap_net_raw=eip /usr/bin/tcpdump

其中 XX 是您用于运行脚本的 python 版本。

(请注意,您的系统上的路径可能不同)

请注意,这允许任何人在您的系统上打开原始套接字。

于 2016-04-01T12:48:21.227 回答
8

尽管@Jeff提供的解决方案在技术上是正确的,但由于直接在 /usr/bin 中的二进制文件上设置文件功能,它的缺点是允许系统中的任何人打开原始套接字。

实现预期结果的另一种方法 - 仅使用 CAP_NET_RAW 运行脚本 - 是使用环境功能。这可以通过利用一个小型辅助二进制文件来完成,该二进制文件将环境功能和 exec() 设置为 python 解释器。如需参考,请参阅此要点

使用参考实现,假设将适当的文件功能分配给./ambient

$ sudo setcap 'cap_net_raw=p' ambient

您的脚本将启动为:

$ ./ambient -c '13' /usr/bin/python ./test.py

请注意:

  • 13是CAP_NET_RAW的整数值,根据capability.h
  • 自内核 4.3 起提供环境功能
  • 您可以使用pscap来验证进程是否在其有效集中使用所需的功能启动

为什么这种方法有效?

环境功能在 exec() 调用中保留(因此传递给所有随后创建的子进程)并在其有效集合中引发,例如由二进制文件调用的 python 解释器或由 python 脚本调用的 tcpdump。这当然是一种简化,有关能力集之间转换的完整描述,请参见能力 (7)

于 2017-12-26T17:59:48.383 回答