我想知道是否有可能在没有 root 权限的情况下运行 Scapy 的 'sniff(...)'。
它用于捕获某些包的应用程序中。但我不想以 root 权限运行整个应用程序或更改 scapy 本身的任何内容。
提前致谢!
编辑:
对于测试,我使用以下代码:
from scapy.all import *
def arp_monitor_callback(pkt):
if ARP in pkt and pkt[ARP].op in (1,2): #who-has or is-at
return pkt.sprintf("%ARP.hwsrc% %ARP.psrc%")
sniff(prn=arp_monitor_callback, filter="arp", store=0)
我只能使用 sudo 运行它。
我试图用sudo setcap 'cap_net_admin=+eip' test.py. 但它没有显示任何效果。即使是all能力也无济于事。
您需要为运行脚本的二进制文件设置功能,即:python 和 tcpdump 如果您希望能够将脚本执行为./test.py:
setcap cap_net_raw=eip /usr/bin/pythonX.X
setcap cap_net_raw=eip /usr/bin/tcpdump
其中 XX 是您用于运行脚本的 python 版本。
(请注意,您的系统上的路径可能不同)
请注意,这允许任何人在您的系统上打开原始套接字。
尽管@Jeff提供的解决方案在技术上是正确的,但由于直接在 /usr/bin 中的二进制文件上设置文件功能,它的缺点是允许系统中的任何人打开原始套接字。
实现预期结果的另一种方法 - 仅使用 CAP_NET_RAW 运行脚本 - 是使用环境功能。这可以通过利用一个小型辅助二进制文件来完成,该二进制文件将环境功能和 exec() 设置为 python 解释器。如需参考,请参阅此要点。
使用参考实现,假设将适当的文件功能分配给./ambient:
$ sudo setcap 'cap_net_raw=p' ambient
您的脚本将启动为:
$ ./ambient -c '13' /usr/bin/python ./test.py
请注意:
为什么这种方法有效?
环境功能在 exec() 调用中保留(因此传递给所有随后创建的子进程)并在其有效集合中引发,例如由二进制文件调用的 python 解释器或由 python 脚本调用的 tcpdump。这当然是一种简化,有关能力集之间转换的完整描述,请参见能力 (7)