用Scapy找出fast-flux流量

最新推荐文章于 2023-05-11 14:33:12 发布
最新推荐文章于 2023-05-11 14:33:12 发布
阅读量536 收藏
点赞数
本文介绍了一种从PCAP文件中解析DNS记录的方法,通过Scapy库读取并处理数据包,提取DNS请求与响应中的域名及其对应IP地址,并建立索引字典进行统计。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

#!/usr/bin/python
#coding=utf-8
from scapy.all import *

dnsRecords = {}
'''
解析pcap文件中所有含DNSRR的数据包,提取分别含有查询的域名和对应的IP的rrname和rdata变量,然后建立一个索引字典并对字典中未出现的IP添加到数组中。
'''
def handlePkt(pkt):
    # 判断是否含有DNSRR
    if pkt.haslayer(DNSRR):
        rrname = pkt.getlayer(DNSRR).rrname
        rdata = pkt.getlayer(DNSRR).rdata
        #记录是否存在
        if dnsRecords.has_key(rrname):
            if rdata not in dnsRecords[rrname]:
                dnsRecords[rrname].append(rdata)
        else:
            dnsRecords[rrname] = []
            dnsRecords[rrname].append(rdata)

def main():
    pkts = rdpcap('fastFlux.pcap')
    for pkt in pkts:
        handlePkt(pkt)
    for item in dnsRecords:
        print "[+] " + item + " has " + str(len(dnsRecords[item])) + " unique IPs."
        # for i in dnsRecords[item]:
        #   print "[*] " + i
        # print

if __name__ == '__main__':
    main()

zwlww1
关注
《Python绝技:运用Python成为顶级黑客》 用Python分析网络流量
weixin_30553777的博客
05-28 2721
1、IP流量将何去何从?——用Python回答: 使用PyGeoIP关联IP地址和物理地址: 需要下载安装pygeoip,可以pip install pygeoip 或者到Github上下载安装https://github.com/appliedsec/pygeoip 同时需要下载用pygeoip操作的GeoLiteCity数据库来解压获得GeoLiteCity.dat数据库文件: ...
Scapy模拟网络包和解析pcap包数据
Delphinidae
04-24 923
from scapy.all import * #模拟udp协议,发送5个udp包,data部分为11,02,33 data = struct.pack('=BHI', 11,02,33) pkt = IP(src='192.168.1.81', dst='192.168.1.10')/UDP(sport=12345,dport=5555)/data send(pkt, inter=1, cou...
Fast Flux技术
ytuwlg的专栏
03-26 1100
2009年3月 通过病毒邮件和欺诈网站学到的对付网络封锁的好东西:Fast Flux技术 收到一封邮件,引起我的好奇了: 邮件标题是:Has it really happened? 邮件正文很短": Damned terrorists!!! http://iopbg.goodnewsdigital.com/contact.php 点开一看:内容是: Powerful exp...
CDN(Content Delivery Network,内容分发网络)与Fast Flux
AG9GgG的博客
09-05 751
一、CDN 1、什么是CDN CDN 是构建在网络之上的内容分发网络 CDN是空间换时间的策略 CDN使用户就近获取所需内容,降低网络拥塞,提高用户访问相应速度和命中率 CDN依靠部署在各地的边缘服务器,包括中心平台的负载均衡、内容分发、调度等功能模块 基本思路: 尽可能避开互联网上有可能影响数据传输速度和稳定性的瓶颈和环节,使内容传输的更快、更稳定。 通过在网络各处放置节点服务器所构成的在现...
scapy-ssl_tls-1.2.3.4.zip
04-11
例如,你可以用它来解码捕获的网络流量中的SSL/TLS记录: ```python from scapy_ssl_tls import SSL packet = SSL.load_packet_from_file('path_to_your_pcap_file.pcap') print(packet.show()) ``` Scapy-ssl...
ARP欺骗技术:使用Scapy进行ARP欺骗.docxARP欺骗技术:使用Scapy进行ARP欺骗all.docxARP欺骗技术:使用Scapy进行ARP欺骗-(10).实验环境搭建.docxA
最新发布
08-31
ARP欺骗技术:使用Scapy进行ARP欺骗.docx ARP欺骗技术:使用Scapy进行ARP欺骗all.docx ARP欺骗技术:使用Scapy进行ARP欺骗_(10).实验环境搭建.docx ARP欺骗技术:使用Scapy进行ARP欺骗_(11).代码实战:简单的ARP...
scapy-python3-0.14
12-11
6. **性能与效率**:由于Scapy是用Python编写的,它可能不如一些专门的C语言工具快。然而,Python的高级抽象和Scapy的优化设计使得它在大多数情况下仍然能够提供良好的性能。 7. **脚本与自动化**:Scapy的灵活性使...
Python库 | scapy_helper-0.5.2-py2.py3-none-any.whl
02-19
`scapy_helper`库则是为简化Scapy的使用和增强其功能而设计的,它在原始Scapy的基础上提供了额外的实用函数和模块,适用于网络诊断、安全测试以及数据分析等场景。 **Scapy库概述** Scapy是Python中一个非常灵活且...
python源码scapy-2.4.4.tar.gz
09-11
- **网络故障排查**:通过发送特定的数据包并分析响应,帮助找出网络中的问题。 - **安全渗透测试**:利用Scapy构造各种攻击包,进行安全漏洞的探测和利用。 - **性能评估**:测量网络的延迟、带宽和丢包率。 - **...
基于网络流量Fast-flux僵尸网络域名检测方法.pdf
08-14
基于网络流量Fast-flux僵尸网络域名检测方法 密码技术
[转]攻击者如何利用Fast flux技术提高其基础设施的反检测能力,以逃避安全监测(二)
tpriwwq的专栏
01-19 535
我们继续来通过具体案例来分析。 对域的控制 Emilia只有一个选择,她不得不去加强对ralnbowbank[.]com域名本身的控制。Emilia有几个选择可以考虑,比如她可以向管理ralnbowbank[.]com的域名服务器(NS)运营商(TLD运营商称为注册管理机构)提出投诉,也可以向将域名出售给Mallory的经销商(注册商)提出投诉,要求他们删除恶意域。也可以使用统一域名争议解决政策(称为UDRP)或统一快速搁置(Uniform Rapid Suspension简称URS)。但是,与响应迅速
[转]攻击者如何利用Fast flux技术提高其基础设施的反检测能力,以逃避安全监测(一)
tpriwwq的专栏
01-19 756
导语:Fast flux技术利用DNS隐藏攻击的来源,至少自2007年开始就已有人使用它。 DNS本来的工作方式是将域名转发给DNS解析器,获取对应的IP地址。使用Fast flux,攻击者可以将多个IP地址的集合链接到某个特定的域名,并将新的地址从DNS记录中换入换出,逃避检测。在早期的僵尸网络中,控制者通常会把C&C服务器的域名或者IP地址硬编码到恶意程序中,僵尸主机通过这些信息定时访问C&C主机获取命令。但同时安全人员也能够通过逆向恶意程序,得到C&C服务器的域...
流量处理及分析工具
Ds的博客
07-19 3145
流量处理及分析工具 1、pkt2flow:A simple utility to classify packets into flows. 地址:https://github.com/caesar0301/pkt2flow 优点:使用C写的分流工具,速度很快,但是仅限于split flow,可以使用多线程提高效率 缺点:当文件格式或其他问题出现未报错,不易发现错误。 使用方式: Usage: ./pkt2flow [-huvx] [-o outdir] pcapfile Options: -h pr
python|使用Scapy分析流量
S4n_v1的博客
05-11 4807
抓包分析其中 ICMP 包的数量与比例。
Python 使用Scapy操作DNS流量
优快云
10-07 8605
通常一个DNS数据包,客户端发送DNSQR请求包,服务器发送DNSRR响应包。一个DNSQR包含有查询的名称qname、查询的类型qtype、查询的类别qclass。一个DNSRR包含有资源记录名名称rrname、类型type、资源记录类别rtype、TTL等等。流量,解析DNSRR的数据包,提取分别含有查询的域名和对应的IP的rrname和rdata变量。这里只检查服务器53端口的数据包,DNS数据包有个rcode字段,当其值为3时表示域名不存在。
僵尸网络检测和抑制方法
哼哼唧唧
11-04 4329
Botnet是随着自动智能程序的应用而逐渐发展起来的。在早期的IRC聊天网络中,有一些服务是重复出现的,如防止频道被滥用、管理权限、记录频道事件等一系列功能都可以由管理者编写的智能程序所完成。于是在1993 年,在IRC聊天网络中出现了Bot工具——Eggdrop,这是第一个Bot程序,能够帮助用户方便地使用IRC 聊天网络。这种bot的功能是良性的,是出于服务的目的,然而这个设计思路却为黑客所利用,他们编写出了带有恶意的Bot工具,开始对大量的受害主机进行控制,利用他们的资源以达到恶意目标。
python scapy抓取http报文内容
热门推荐
skytiger0419的博客
02-28 1万+
一、使用scapy,简单的用来抓取http相关报文 #coding=utf-8 import scapy.all as scapy from scapy.layers.http import HTTPRequest, HTTPResponse, HTTP import json # pcap_file = r'C:\Users\cmcc\Desktop\test.pcap' pcap_fi...
scapy读取流量
AI拉呱,专注于人工智与网络安全方面的研究,关注一起学习。
11-19 998
Scapy 是一个 Python 程序,它使用户能够发送、嗅探、剖析和伪造网络数据包。此功能允许构建可以探测、扫描或攻击网络的工具.其次能够伪造或解码大量协议的数据包.Scapy 可以轻松处理大多数经典任务,例如扫描、跟踪、探测、单元测试、攻击或网络发现。可以进行跟踪路由并因此仅给出请求的开始 TTL 和答案的源 IP 的方法。可以 ping 整个网络并给出应答的机器列表。可以执行端口扫描并返回 LaTeX 报告。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值