用Scapy解析TTL字段的值

最新推荐文章于 2024-07-03 16:05:47 发布
原创 最新推荐文章于 2024-07-03 16:05:47 发布 · 1.6k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍了一种使用TTL值进行源地址验证的方法,通过发送ICMP数据包并对比回应的TTL值来检测可能存在的源地址欺骗行为。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

#!/usr/bin/python
#coding=utf-8
from scapy.all import *
import time
import optparse
# 为避免IPy库中的IP类与Scapy库中的IP类冲突,重命名为IPTEST类
from IPy import IP as IPTEST

ttlValues = {}
THRESH = 5

# 检查数据包的IP层,提取出源IP和TTL字段的值
def testTTL(pkt):
    try:
        if pkt.haslayer(IP):
            ipsrc = pkt.getlayer(IP).src
            ttl = str(pkt.ttl)
            #print "[+] Pkt Received From: " + ipsrc + " with TTL: " + ttl
            checkTTL(ipsrc, ttl)
    except:
        pass

def checkTTL(ipsrc, ttl):

    # 判断是否是内网私有地址
    if IPTEST(ipsrc).iptype() == 'PRIVATE':
        return

    # 判断是否出现过该源地址,若没有则构建一个发往源地址的ICMP包,并记录回应数据包中的TTL值
    if not ttlValues.has_key(ipsrc):
        #ICMP发现扫描
        #pkt = sr1(IP(dst=ipsrc) / ICMP(), retry=0, timeout=1, verbose=0)  
        pkt = sr1(IP(dst=ipsrc) / ICMP() / "zhou")
        print pkt
        ttlValues[ipsrc] = pkt.ttl


    # 若两个TTL值之差大于阈值,则认为是伪造的源地址
    if abs(int(ttl) - int(ttlValues[ipsrc])) > THRESH:
        print '\n[!] Detected Possible Spoofed Packet From: ' + ipsrc
        print '[!] TTL: ' + ttl + ', Actual TTL: ' + str(ttlValues[ipsrc])

def main():
    parser = optparse.OptionParser("[*]Usage python spoofCheckTTL.py -i <interface> -t <thresh>")
    parser.add_option('-i', dest='iface', type='string', help='specify network interface')
    parser.add_option('-t', dest='thresh', type='int', help='specify threshold count ')
    (options, args) = parser.parse_args()
    if options.iface == None:
        conf.iface = 'eth0'
    else:
        conf.iface = options.iface
    if options.thresh != None:
        THRESH = options.thresh
    else:
        THRESH = 5

    sniff(prn=testTTL, store=0)

if __name__ == '__main__':
    main()



重点说明一下,避免大家走一些弯路,这段代码中最重要部分就是:

   

 # 判断是否出现过该源地址,若没有则构建一个发往源地址的ICMP包,并记录回应数据包中的TTL值   

if not ttlValues.has_key(ipsrc):       

     #ICMP发现扫描       

     #pkt = sr1(IP(dst=ipsrc) / ICMP(), retry=0, timeout=1, verbose=0)       

    pkt = sr1(IP(dst=ipsrc) / ICMP() / "zhou")

    ttlValues[ipsrc] = pkt.ttl

其中原文中的

        #pkt = sr1(IP(dst=ipsrc) / ICMP(), retry=0, timeout=1, verbose=0)

我已注释掉了,因为在调试过过程,PKT结果一直是None,所我翻查了关于

scapy学习icmp报文资料,将代码改为       

 pkt = sr1(IP(dst=ipsrc) / ICMP() / "zhou") 后,结果正常输出。有兴趣有朋友可以深入研究。












                

        

    

    
  



    

      

        

            

              
                
                  zwlww1
                
              
            

            

                关注
              
            

        

        

          
      

      










                



	

		

			

				
					
python的Scapy解析TTL字段

				
			

			

				

					zhangzhechun的专栏
				

				

					03-01
					
					621
					
				

			

		

		

			
				
在这个示例中,我们使用Scapy的sniff函数来捕获网络数据包。filter参数用于指定捕获的数据包类型,这里我们只捕获ICMP数据包。在回调函数中,我们首先判断数据包是否包含ICMP层,然后获取其TTL字段,并将其打印出来。得注意的是,由于TTL字段在IP层中定义,因此如果我们要解析IP数据包的TTL字段,需要使用packet[IP].ttl来获取其。类似地,如果要解析TCP或UDP数据包的某些字段,可以使用packet[TCP].字段名或packet[UDP].字段名来获取其

			
		

	



                

            
              



	

		

			

				
					
scapy读取流量包

				
			

			

				

					AI拉呱,专注于人工智与网络安全方面的研究,关注一起学习。
				

				

					11-19
					
					994
					
				

			

		

		

			
				
Scapy 是一个 Python 程序,它使用户能够发送、嗅探、剖析和伪造网络数据包。此功能允许构建可以探测、扫描或攻击网络的工具.其次能够伪造或解码大量协议的数据包.Scapy 可以轻松处理大多数经典任务,例如扫描、跟踪、探测、单元测试、攻击或网络发现。可以进行跟踪路由并因此仅给出请求的开始 TTL 和答案的源 IP 的方法。可以 ping 整个网络并给出应答的机器列表。可以执行端口扫描并返回 LaTeX 报告。

			
		

	



              


  
              

                


	

		

			

				
					
Python Scapy 报文构造和解析

				
			

			

				

					测试开发小记
				

				

					02-19
					
					1万+
					
				

			

		

		

			
				
目录下载安装Scapy 的使用DHCPv6报文构造发送报文1. 只发不收2. 发且收报文过滤
Scapy是一款强大的交互式数据包处理工具、数据包生成器、网络扫描器、网络发现工具和包嗅探工具。能灵活地构造各种数据包、发送数据包、包嗅探、应答和反馈匹配等功能。
下载安装
官网:https://scapy.net/
github地址:https://github.com/secdev/scapy
官方文档:https://scapy.readthedocs.io/en/latest/
pip install sc

			
		

	





	

		

			

				
					
TTL的含义以及与域名DNS TTL的区别

				
			

			

				

					qq_44428824的博客
				

				

					02-08
					
					1431
					
				

			

		

		

			
				
什么是TTLTTL是IP协议包中的一个,指定数据报被路由器丢弃之前允许通过的网段数量。
在很多情况下数据包在一定时间内不能被传递到目的地。解决方法就是在一段时间后丢弃这个包,然后给发送者一个报文,由发送者决定是否要重发。TTL 是由发送主机设置的,以防止数据包不断在 IP 互联网络上永不终止地循环。转发 IP 数据包时,要求路由器至少将 TTL 减小1。当记数到0时,路由器决定丢弃该包,并发送一个ICMP报文给最初的发送者。
TTL帮助我们大致的识别主机的操作系统类型。
UNIX 及类 UNIX 操

			
		

	



		

			
		



	

		

			

				
					
Python 使用Scapy解析TTL

				
			

			

				

					优快云
				

				

					10-06
					
					1万+
					
				

			

		

		

			
				
TTL 由8比特组成,可以用来确定在到达目的地之前数据包经过了几跳,当计算机发送一个IP数据包时会设置TTL字段为数据包在到达目的地之前所应经过的中继跳转的上限,数据包每经过一个路由设备,TTL就自减一,若减至0还未到目的地,路由器会丢弃该数据包以防止无限路由循环。Nmap进行伪装扫描时,伪造数据包的TTL是没有经过计算的,因而可以利用TTL来分析所有来自Nmap扫描的数据包,对于每个被记录为Nmap扫描的源地址,发送一个ICMP数据包来确定源地址与目标机器之间隔了几跳,从而来辨别真正的扫描源。

			
		

	





	

		

			

				
					
IPv6 Scapy Samples

				
			

			

				

					weixin_30564785的博客
				

				

					02-14
					
					1395
					
				

			

		

		

			
				
1 IPv6 ICMP
 2 icmp ipv6 request
 3     
 4     i=IPv6()
 5     i.dst="2001:db8:dead::1"
 6     q=ICMPv6EchoRequest()
 7     p=(i/q)
 8     sr1(p)
 9 ipv6 source route packets
10     i=IPv...

			
		

	





	

		

			

				
					
python 解析pcap报文

				
			

			

				

					06-06
				

			

		

		

			
				
本代码能对抓包工具抓下来的pcap包各个字段进行精确的解析,包括文件头,报文头,协议头,数据内容等的解析。。

			
		

	





	

		

			

				
					
scapy解析出pcap文件的http报文

				
			

			

				

					Arion的笔记
				

				

					03-20
					
					1万+
					
				

			

		

		

			
				
p.show函数可以分层次打印pcap文件的内容 
例程序1:#encoding=utf-8
import scapy.all as scapy
'''
try:
    # This import works from the project directory
    import scapy_http.http
except ImportError:
    # If you installe

			
		

	





	

		

			

				
					
python之用scapy分层解析pcap报文(Ethernet帧、IP数据包、TCP数据包、UDP数据包、Raw数据包)

					
热门推荐

				
			

			

				

					GFS_lele的博客
				

				

					03-27
					
					2万+
					
				

			

		

		

			
				
一、工具准备

  下载安装scapy库(https://blog.youkuaiyun.com/qq_23977687/article/details/88046257)



二、scapy用法

  1.1、得到数据

  有两种方式,实时抓包,读取 pcap文件
  实时抓包:利用sniff方法来实现(eth0是要检测的网卡名,count是抓包的数量)


from scapy.all import...

			
		

	





	

		

			

				
					
Scapy网络数据包修改工具

				
			

			

				

					07-25
				

			

		

		

			
				
2. **协议构造**:通过Scapy,你可以构建自定义的数据包,指定每个协议字段。例如,可以创建一个包含特定源IP、目标IP、端口号和数据负载的TCP报文。  3. **协议解析**:Scapy解析接收到的数据包,提取其各个...

			
		

	





	

		

			

				
					
python局域网ip扫描示例分享

				
			

			

				

					12-25
				

			

		

		

			
				
复制代码 代码如下:#!/usr/bin/python# -*- coding: utf-8 -*-
from scapy.all import *from time import ctime,sleepimport threadingTIMEOUT = 4conf.verb=0
def pro(cc,handle): dst = “192.168.1.” + str(cc) packet = IP(dst=dst, ttl=20)/ICMP() reply = sr1(packet, timeout=TIMEOUT) if not (reply is None):  handle.write

			
		

	





	

		

			

				
					
Scapy常用操作和命令(1)

				
			

			

				

					Han的小站
				

				

					01-22
					
					7349
					
				

			

		

		

			
				

ls()   
列出scapy中实现的所有网络协议





>>> ls()
ARP       
: ARP
ASN1_Packet : None
BOOTP     
: BOOTP
CookedLinux : cooked linux
DHCP      
: DHCP options
DHCP6     
: DHCPv6 Generic Mes

			
		

	





	

		

			

				
					
python3scapy库函数使用,发送数据包

				
			

			

				

					Flynn的博客
				

				

					09-27
					
					3496
					
				

			

		

		

			
				
scapy函数
交互式网络分组处理模块。可以用于构造或者解码大量的数据包协议,发送,捕获数据包并匹配请求和回复。
导入scapy库
from scapy.all import *

构造数据包

简单构造

直接构造默认数据包

 >>> a=IP() #不带参数表示构造默认的IP数据包
 >>> a.show() #查看数据包a的相关信息
 ###[ IP ]### 
 version   = 4
 ihl       = None
 tos       = 0x0
 

			
		

	





	

		

			

				
					
python绝技 — 用Scapy解析TTL字段

				
			

			

				

					weixin_34198453的博客
				

				

					11-22
					
					683
					
				

			

		

		

			
				
 
 

#!/usr/bin/env python
#--*--coding=utf-8--*--
#打印收到的数据包的源IP和TTL

from scapy.all import *

def testTTL(pkt):
	try:
		if pkt.haslayer(IP):
			ipsrc = pkt.getlayer(IP).src
			ttl = str...

			
		

	





	

		

			

				
					
IP头中TTL字段的作用

				
			

			

				

					tomorrowCS的专栏
				

				

					05-12
					
					1419
					
				

			

		

		

			
				
3,TTL字段由IP数据包的发送者设置,在IP数据包从源到目的的整个转发路径上,每经过一个路由器,路由器都会修改这个TTL字段,具体的做法是把该TTL减1,然后再将IP包转发出去。4,如果在IP包到达目的IP之前,TTL减少为0,路由器将会丢弃收到的TTL=0的IP包并向IP包的发送者发送 ICMP time exceeded消息。1,TTL的作用是限制IP数据包在计算机网络中的存在的时间。2, 虽然TTL从字面上翻译,是可以存活的时间,但实际上TTL是IP数据包在计算机网络中可以转发的最大跳数。

			
		

	





	

		

			

				
					
从零开始做题:奇怪的TTL字段

				
			

			

				

					weixin_44626085的博客
				

				

					12-03
					
					892
					
				

			

		

		

			
				
127是 01111111、191是 10111111 、63是 00111111、255是 11111111,那应该就是前两位在变化。打开ttl.txt可以发现所有的ttl都是同样的4个数 127 ,63 ,255,191 对应的二进制。(base) ┌──(holyeyes㉿kali2023)-[~/Misc/题目/奇怪的TTL字段]可以提取前两位数转16进制,ffd8是jpg的16进制头部。jupyter可以加载kernel:python27。用PPT的插图和对齐的功能拼接一下,得到一个二维码。

			
		

	





	

		

			

				
					
Ping命令返回的TTL详解

					
最新发布

				
			

			

				

					二进制模----细微行动改变影响世界
				

				

					07-03
					
					5410
					
				

			

		

		

			
				
https://blog.youkuaiyun.com/u010240427/article/details/52585841?spm=1001.2101.3001.6650.3&utm_medium=distribute.pc_relevant.none-task-blog-2%7Edefault%7EBlogCommendFromBaidu%7ECtr-3-52585841-blog-111719399.235%5Ev43%5Epc_blog_bottom_relevance_base5&depth_1-utm_s

			
		

	





	

		

			

				
					
TTL学习

				
			

			

				

					sun0322
				

				

					09-27
					
					2107
					
				

			

		

		

			
				
转载

本文来自 pfm685757 的优快云 博客 ,全文地址请点击:https://blog.youkuaiyun.com/pfm685757/article/details/64503262?utm_source=copy

在现在的这个公司一直使用tera term来远程连接服务器,感觉很方便,特别是它的ttl脚本配置的自动连接。有时候我们可能无法直接连接到目标服务器,需要通过ssh经过多个中间服务...

			
		

	





	

		

			

				
					
记录TTL的两种含义

				
			

			

				

					北欧巨墙
				

				

					09-12
					
					800
					
				

			

		

		

			
				
TTL(Time To Live) - 生存时间

????TTL(Time To Live) : 指定IP包被路由器丢弃之前允许通过的最大网段数量。


TTL是IPv4报头的一个8 bit字段。注意:TTL与DNS TTL有区别。二者都是生存时间,前者指ICMP包的转发次数(跳数),后者指域名解析信息在DNS中的存在时间。


????DNS TTL: 一个域名解析记录在DNS服务器中的存留时间(简单说就是域名解析记录在DNS服务器缓存的时间)


各地的DNS服务器在接受到解析请求后,会向域名指定的

			
		

	





	

		

			

				
					
掌握IP数据包解析技术:服务端与客户端的交互

				
			

			

				

					
				

			

		

		

			
				
以一个简单的Scapy IP数据包解析为例,可以先用Scapy构造一个简单的IP数据包,再发送并捕获这个数据包,最后进行解析。以下是使用Scapy构造和发送IP数据包的简单示例代码段: ```python from scapy.all import IP, ...

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		
评论 1

	

  
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值