scapy自定義packet field解析

先說(shuō)scapy的數(shù)據(jù)包組成

scapy數(shù)據(jù)包有兩個(gè)類,一個(gè)是packet,一個(gè)是field

Packet

packet類代表了一個(gè)完整的數(shù)據(jù)包

filed代表的是數(shù)據(jù)包中的成員

比如我有一個(gè)自定義的數(shù)據(jù)包如下

class MyFrame(Packet):
    name = "MyFrame"
    fields_desc = [
        ShortField("my_id", 0),
        ByteField("message_type", None),
        FieldLenField("len", None, length_of="data"),
        StrLenField("data", "", length_from=lambda pkt:pkt.len)
        ]

其中MyFrame繼承自Packet,他由一堆field組成,這些filed可以是short,byte,int,str等類型,他們均繼承自Field類,分別對(duì)應(yīng)著不同的字節(jié)大小

Field

Field類代表的是packet的成員,可以認(rèn)為是數(shù)據(jù)包的最小組成單元,在成幀的過(guò)程中,每一個(gè)filed輸出一個(gè)bytes數(shù)組,然后packet按照順序,把每個(gè)filed的bytes連接起來(lái),形成最終的數(shù)據(jù)包

所以每個(gè)Field只需要關(guān)注自己輸出的bytes數(shù)組就可以了,這也體現(xiàn)了面向?qū)ο蟮姆庋b隔離的原則

我們先來(lái)看看scapy內(nèi)置的一些Field成幀是怎么輸出的

class ShortField(Field):
    def __init__(self, name, default):
        Field.__init__(self, name, default, "H")
class IntField(Field):
    def __init__(self, name, default):
        Field.__init__(self, name, default, "I")

ShortField和IntField都是簡(jiǎn)單的繼承了Field類,沒(méi)有重寫(xiě)任何函數(shù),看一下Field的成幀函數(shù)

class Field(six.with_metaclass(Field_metaclass, object)):
    def addfield(self, pkt, s, val):
        """Add an internal value  to a string"""
        return s+struct.pack(self.fmt, self.i2m(pkt,val))
  • addfield是成幀函數(shù),輸出一個(gè)最終的bytes數(shù)組,輸入?yún)?shù)如下
    • pkt: 本Field對(duì)象所屬的Packet對(duì)象實(shí)例
    • s: Packet已經(jīng)構(gòu)建出的bytearray數(shù)組,即本Field之前的那些Field組成的bytearray,所以返回值一定是s + 自己的bytearray,如果自己是空,則只返回s
    • val: 定義Packet實(shí)例時(shí)傳給自己的值,類型不確定
  • 舉例說(shuō)明addfield參數(shù)如下(只說(shuō)明s和val,pkt都是frame對(duì)象引用)
frame = MyFrame(my_id=1,message_type=0x01)
frame.data = 'hello every one'
frame.len = len(frame.data)

  • my_id是ShortField,他的addfield參數(shù)如下

    • s : 空數(shù)組
    • value,1 數(shù)值類型
    • return: 00 01

  • message_type是ByteField, 他的addfield參數(shù)如下

    • s: 00 01
    • val: 0x01
    • return 00 01 01

  • len是FieldLenField,他的addfield參數(shù)如下

    • s: 00 01 01
    • val: 15
    • return 00 01 01 00 0f

  • data是StrLenField,他的addfield參數(shù)如下

    • s: 00 01 01 00 0f
    • val : "hello every one"
    • return 00 01 01 00 0f 68 65 6c 6c 6f 20 65 76 65 72 79 20 6f 6e 65

自定義Field

自定義Field,只需要繼承Field類,重寫(xiě)addfield和getfield函數(shù)就可以了

addfield函數(shù)是把對(duì)象變?yōu)閎ytearray,反過(guò)來(lái),getfield即把bytearray變?yōu)閷?duì)象

如下我要封裝一個(gè)RecordField,記錄姓名,身高,年齡

import struct
from scapy.packet import Packet
from scapy.fields import Field,ShortField
from scapy.utils import lhex, hexdump

def hexify(buffer):
    """
    Return a hexadecimal string encoding of input buffer
    """
    return ' '.join('%02x' % ord(c) for c in buffer)

class RecordField(Field):
    def __init__(self, name, default):
        Field.__init__(self,name, default)


    def addfield(self, pkt, s, val):
        name = bytearray(val['name']) + bytearray(1)
        height = val['height']
        age = val['age']

        return s + name + struct.pack("I",height) + struct.pack("H",age)

    def getfield(self, pkt, s):
        index = 0
        for b in bytearray(s):
            if b == 0x00:
                break
            else:
                index += 1
        result = {}
        result['name'] = s[:index]

        result['height'] = struct.unpack("I",s[index+1:index+5])[0]
        result['age'] = struct.unpack("H",s[index+5:index+7])[0]

        return s[index+7:],result


class MyFrame(Packet):
    name = "MyFrame"
    fields_desc = [
        ShortField("id", 0),
        RecordField("record",None)
    ]

frame = MyFrame(
    id = 100,
    record = {
        "name":"jobs",
        "height":180,
        "age":55
    }
)

frame.show()
print hexify(str(frame))
hexdump(frame)
print frame.fields_desc[1].getfield(frame,str(frame)[2:])

run

###[ MyFrame ]### 
  id        = 100
  record    = {'age': 55, 'name': 'jobs', 'height': 180}

00 64 6a 6f 62 73 00 b4 00 00 00 37 00
0000  00646A6F627300B40000003700       .djobs.....7.
('', {'age': 55, 'name': 'jobs', 'height': 180})

封包解析

00 64   #id=100
6a 6f 62 73 00  #record.name=jobs
b4 00 00 00     #record.height=180
37 00           #record.age=55
  • 可以看到,最終的數(shù)據(jù)包按照我的意愿組織了起來(lái)
  • 因?yàn)間etfield是內(nèi)部調(diào)用的函數(shù),所以最后一行代碼模擬了一下內(nèi)部調(diào)用的過(guò)程,將str轉(zhuǎn)為object
?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請(qǐng)聯(lián)系作者
【社區(qū)內(nèi)容提示】社區(qū)部分內(nèi)容疑似由AI輔助生成,瀏覽時(shí)請(qǐng)結(jié)合常識(shí)與多方信息審慎甄別。
平臺(tái)聲明:文章內(nèi)容(如有圖片或視頻亦包括在內(nèi))由作者上傳并發(fā)布,文章內(nèi)容僅代表作者本人觀點(diǎn),簡(jiǎn)書(shū)系信息發(fā)布平臺(tái),僅提供信息存儲(chǔ)服務(wù)。

相關(guān)閱讀更多精彩內(nèi)容

友情鏈接更多精彩內(nèi)容