python和scapy来捕获实时网络流量。capture=sniff(iface="<My Interface>", filter="tcp")
但是这个程序会嗅探每个网络数据包并将其添加到列表capture中,稍后可以处理这些数据包。
我想在嗅探到一个数据包后立即处理它并显示其中的一些字段。也就是说,在嗅探到一个数据包时,它将触发一个函数,我可以在该函数中分析该数据包。这将继续进行几次。
我已经准备好使用捕获的数据包列表使用的函数。但是我无法用它来处理每个实时数据包。
如何实现这一点?这是否可能通过scapy实现,还是我需要安装其他软件包?
sniff函数的参数应该像下面的代码。
from scapy.all import *
def pkt_callback(pkt):
pkt.show() # debug statement
sniff(iface="<My Interface>", prn=pkt_callback, filter="tcp", store=0)
store=0 表示不储存任何收到的数据包,而 prn 则表示将 pkt 发送给 pkt_callback。
正如 Yoel 所提到的,如果只需要一个操作,可以使用 lambda 替代像这个例子中的新函数来处理 prn:
sniff(iface="<My Interface>", prn = lambda x: x.show(), filter="tcp", store=0)
sniff函数的prn参数完成。Scapy的教程提供了一个简单的示例,在这里。Scapy的官方API文档指定如下:
sniff(prn=None, lfilter=None, count=0, store=1, offline=None, L2socket=None, timeout=None)...
prn: 应用于每个数据包的函数。如果返回了某些内容,则会显示出来。例如,您可以使用prn = lambda x: x.summary()。
...
store参数设置为0才能调用prn回调函数。然而,将store=0并没有任何这样的效果。Scapy自己的示例不设置store=0,而官方API文档也没有提到任何这样的要求。事实上,检查Scapy的源代码会发现store和prn参数之间根本没有任何关联。下面是相关代码块的一部分:...
if store:
lst.append(p)
c += 1
if prn:
r = prn(p)
if r is not None:
print r
...
store=0设置更有效率。你在哪里读到这个信息的? - Yoelstore=1意味着您将每个数据包存储在一个巨大的列表中。通常这用于嗅探几个数据包,但是如果您永远不停止嗅探(这里:没有超时或数据包计数),当您使用ctrl^c时,您最终会拥有一个巨大的列表。 - Cukic0dstore=1”或者“不设置store=0”,而不是“不设置store=1”,对吗? - Yoel
store=0上的声明的此答案。 - Yoelprn处理每个数据包时,将每个数据包附加到列表 (store=1) 中是否会增加额外的开销?我们真的需要存储这些数据包吗? - RatDonstore = 0会略微提高空间和时间效率,我甚至在对我的回答的评论中进行了论证,当时你声称相反。现在你已经编辑了你的回答,它是正确的,尽管我没有看到它对讨论有什么补充,因为我的回答及其评论已经陈述了以上所有内容,而且早已发布。 - Yoelprn,并且删除了一些参数,如果缺少这些参数,则会采用默认值。我从未说过你的答案是错误的。上面那个更适合我的问题。 - RatDon