使用Scapy进行主机发现并用Wireshark进行流量分析

目标

使用Scapy进行信息收集&＃xff08;主机扫描&＃xff0c;端口扫描&＃xff0c;OS识别&＃xff0c;获取Banner&＃xff09;&＃xff0c;并用Wireshark进行流量分析&＃xff0c;深入理解Nmap中默认的半连接扫描&＃xff0c;做到隐蔽式信息收集。

二层发现&＃xff08;ARP&＃xff09;

打开scapy

a&＃61;sr1(ARP(pdst&＃61;"192.168.1.1"))
a.display()


got 1 answers表示接收到应答包&＃xff0c;主机存活。
Wireshark可以抓到本机的ARP请求数据包&＃xff0c;和应答包。
二层发现速度快且可靠。

三层发现&＃xff08;ICMP)

a&＃61;sr1(IP(dst&＃61;"192.168.1.1")/ICMP(),timeout&＃61;1)
a.display()


Wireshark使用过滤规则&＃xff08;ip.addr eq 192.168.1.130&＃xff09;抓到ICMP请求&＃xff08;request&＃xff09;和应答&＃xff08;reply&＃xff09;报文,主机存活。

四层发现&＃xff08;TCP,UDP)

这里主要介绍TCP的半连接扫描。

a&＃61;sr1(IP(dst&＃61;"192.168.1.1")/TCP(dport&＃61;80,flags&＃61;&＃39;S&＃39;),timeout&＃61;1)
a.display()


用Scapy发送TCP(SYN,ACK)包&＃xff0c;收到对方主机发送的RST(表示复位&＃xff0c;用来异常的关闭连接),表示主机存活。

总结

Scapy是一个用Python编写的交互式数据包处理程序&＃xff0c;它能让用户发送、嗅探、解析&＃xff0c;以及伪造网络报文&＃xff0c;从而用来侦测、扫描和向网络发动攻击。Scapy可以轻松地处理扫描、路由跟踪、探测、单元测试、攻击和发现网络之类的传统任务。