Scapy系列学习笔记(未完) 来自 www.d-up.org/man
0×01.初识sacpy:http://d-up.org/man/2010/01/scapy0×01/
0×02.创造数据包:http://d-up.org/man/2010/02/scapy0×02/
0×03.发送数据包:http://d-up.org/man/2010/02/scapy0×03/
0×04.SYN扫描器:http://d-up.org/man/2010/03/scapy0×04/
………………(本人不断更新中,转载请保留此信息)
通过前面的学习,我们已经基本可以使用Scapy来生成一些数据包并发送了。现在来学习一些简单的应用,虽然简单,但是功能还是很强大的。
一个简单的SYN扫描器
TCP SYN扫描是一个半开放扫描形式,它利用了TCP 三次握手中的一个步骤,也就是传送SYN标志这个步骤,其他的后续步骤没有发生,主要利用了初次发送syn时,如果目标端口关闭,则会返回一个RST,否则返回ACK和一个SYN。SYN扫描速度很快也就是因为他连三次握手都没握完。
一个典型的SYN扫描器可以通过下面的命令来完成.
>>> sr1(IP(dst='www.d-up.org')/TCP(dport=80,flags='S'))
Begin emission:
....Finished to send 1 packets.
......*
Received 11 packets, got 1 answers, remaining 0 packets
>>
>>>
可以看到,服务器发送过来了seq,通过glags SA (syn-ack)可以看出握手成功。再来测试一个随机的端口。
>>> sr1(IP(dst='www.d-up.org')/TCP(dport=65531,flags='S'))
Begin emission:
Finished to send 1 packets.
....*
Received 5 packets, got 1 answers, remaining 0 packets
>>
>>>
可以看到seq为0,flags=RA (RST-ACK),链接不成功。
扫描多个端口
结合之前学的几个方法,可以快速扫描多个端口。首先dport为一个数组,里面有要扫描的端口,然后在将结果取出,通过查看flags字段,就可以得到目标端口的
开发情况,RA为RST-ACK ,失败。SA为SYN-ACK,成功。
>>> sr(IP(dst="192.168.1.1")/TCP(sport=RandShort(),dport=[440,441,442,443],flags="S"))
>>> ans,unans = _
>>> ans.summary()
IP / TCP 192.168.1.100:ftp-data > 192.168.1.1:440 S ======> IP / TCP 192.168.1.1:440 > 192.168.1.100:ftp-data RA / Padding
IP / TCP 192.168.1.100:ftp-data > 192.168.1.1:441 S ======> IP / TCP 192.168.1.1:441 > 192.168.1.100:ftp-data RA / Padding
IP / TCP 192.168.1.100:ftp-data > 192.168.1.1:442 S ======> IP / TCP 192.168.1.1:442 > 192.168.1.100:ftp-data RA / Padding
IP / TCP 192.168.1.100:ftp-data > 192.168.1.1:https S ======> IP / TCP 192.168.1.1:https > 192.168.1.100:ftp-data SA / Padding
处理扫描结果
上面我们显示了完整的请求和响应。我们可以通过简单的循环只显示我们感兴趣的部分,扫描的端口和结果。
>>> ans.summary( lambda(s,r): r.sprintf("%TCP.sport% \t %TCP.flags%") )
440 RA
441 RA
442 RA
https SA
lambda 是个很操蛋的函数,需要稍微研究下,就是执行一条语句。
我们还可以通过make_table()函数来制个表。
>>> ans,unans = sr(IP(dst=["192.168.1.1","yahoo.com","slashdot.org"])/TCP(dport=[22,80,443],flags="S"))
Begin emission:
.......*.**.......Finished to send 9 packets.
**.*.*..*..................
Received 362 packets, got 8 answers, remaining 1 packets
>>> ans.make_table(
... lambda(s,r): (s.dst, s.dport,
... r.sprintf("{TCP:%TCP.flags%}{ICMP:%IP.src% - %ICMP.type%}")))
66.35.250.150 192.168.1.1 216.109.112.135
22 66.35.250.150 - dest-unreach RA -
80 SA RA SA
443 SA SA SA
上面的例子可以打印出 ICMP错误,来取代无法得到的响应。
扫描数量较大的时候我们可以只显示出我们关心的结果,例如开放的端口。
>>> ans.nsummary(lfilter = lambda (s,r): r.sprintf("%TCP.flags%") == "SA")
0003 IP / TCP 192.168.1.100:ftp_data > 192.168.1.1:https S ======> IP / TCP 192.168.1.1:https > 192.168.1.100:ftp_data SA
这次我们想得到一个更友好的显示,通过下面的示例可以更好的显示扫描结果:
>>> ans.summary(lfilter = lambda (s,r): r.sprintf("%TCP.flags%") == "SA",prn=lambda(s,r):r.sprintf("%TCP.sport% is open"))
https is open
当扫描的目标更多时,也许下面的显示方法更加招人喜欢:
>>> ans.filter(lambda (s,r):TCP in r and r[TCP].flags&2).make_table(lambda (s,r):
... (s.dst, s.dport, "X"))
66.35.250.150 192.168.1.1 216.109.112.135
80 X - X
443 X X X
如果上面的输出方法,还不能满足你,那么可以使用report_ports()函数,它不仅包括了自动化的SYN扫描,而且还生成了LaTeX格式的结果。
>>> report_ports("192.168.1.1",(440,443))
Begin emission:
...*.**Finished to send 4 packets.
*
Received 8 packets, got 4 answers, remaining 0 packets
'\\begin{tabular}{|r|l|l|}\n\\hline\nhttps & open & SA \\\\\n\\hline\n440
& closed & TCP RA \\\\\n441 & closed & TCP RA \\\\\n442 & closed &
TCP RA \\\\\n\\hline\n\\hline\n\\end{tabular}\n'
