Archive for the ‘hacker’ Category

TCPDUMP-3.9.8安装过程的一点问题记录

Monday, June 2nd, 2008

TCPDUMP-3.9.8安装过程的一点问题记录

安装时没有默认加上动态连接库的辅助库的静态连接参数,导致连接时找不到一些符号(假设地球人可以听懂)。所以需要加上这个静态连接库,实际的修改方法是打开 “Makefile” 文件,在55行处的最后加上 “-ldl” 。然后编译即可通过。

运行时需要有root权限,而且相关命令是在 “/usr/local/sbin” 下面的。所以先切换到root再说。

sendpkt已经更新到winpcap4.0.1了

Monday, April 28th, 2008

sendpkt已经更新到winpcap4.0.1了

因为一直崇尚“最新的软件不一定是最好的”,所以向来不适用最新版本的各类软件,不过终于在所有朋友的催促之下,将winpcap由3.1升级到4.0.1了。并且提供了sendpkt的新windows二进制发行版。

sendpkt是提供win32/linux兼容接口的发包函数库。倪补了长久以前python只能抓包不能发包的问题,另外同时提供的兼容接口,也提高了程序的可移植性和适用范围。

最近因为给朋友帮忙封装了供lua使用的winpcap,现在已经积累了好多东西了,可以考虑以后把一些常用的组包和ARP查询等函数一起加入提供方便。再者,就是仔细考虑一下自己封装一个供win32使用的使用mingw编译的libnet包。毕竟libnet总比winpcap自带的那个要专业许多,也省事许多。

至于解包,我现在还没找到比较合适的库,一直自己写呢,现在已经完善而稳定的包含ethernet、arp、ip包三种,tcp包几天内就要开始写了。

http://sendpkt.googlecode.com

我要重写pypcap

Monday, April 28th, 2008

我要重写pypcap

接触信息安全由来已久,因为一直用python比较多,于是刚开始玩抓包时也是用pypcap的。开始时很方便,发现原来生活可以这么美好,抓包原来可以放在循环里的。后来,问题一点点出来了。列举一下,当然这里也有我对pcap知识不够全面的问题:

1、在不同机器上setnonblock后效果不同,有些机器上设置以后可以支持Ctrl+C的中止,而有些机器上则直接进入死循环,死得很惨。
2、pcap_next_ex()函数丢失了,这个可是用于支持可超时抓包的重要工具。
3、建立pcap对象时无法指定超时,同样很好理解,不过这里也顺便把pcap_dispatch()函数搞得很惨。

pypcap最初是用pyrex写的,很好的避免了很多复杂性,不过同样的问题是丢失了很多细节控制。最终的发行版本已经是使用pyrex转换后的C代码了。

直到最近我给lua加上pcap的支持模块时,才开始真正接触pcap的更多细节,这时候恍然大悟。我在pypcap中郁闷好久的功能,其实pcap本身已经提供了,只是被pypcap给忽略掉了。唉,以前我还经常嘲笑有IDE综合症的人呢,现在自己也不小心落入了这个陷阱。

SendPkt快速入门

Wednesday, October 3rd, 2007

SendPkt快速入门
作者:
gashero
电邮:
harry.python@gmail.com
原文地址:

http://gashero.yeax.com/?p=26

项目主页:

http://sendpkt.googlecode.com

日期:
2007-10-03
版本:
sendpkt 0.2
修订版:
1
目录
1 简介
2 使用SendPkt的流程
3 SendPkt发送数据包的简单例子
4 SendPkt发送ARP查询包的例子
5 参考
1 简介
摘自 SendPkt 项目wiki。
SendPkt是一套同时可以运行在Linux/Win32的发送链路层数据包的Python扩展库。
SendPkt在Linux和Win32下实现方式是不同的,但是提供对Python的相同接口,确保Python程序可以不经过修改就可以移植。
在Win32下SendPkt使用WinPcap?中的 pcap_sendpacket() 函数发送数据包。
在Linux下SendPkt使用libnet的 libnet_adv_write_link() 函数发送数据包。
同时SendPkt还提供了查找网络接口设备的功能,以供发送数据包时选择。在Linux下虽然可以使用libnet自动选择的网络接口设备,但是在Win32下,默认的网络设备总会导致发包失败。所以为了可移植性,你必须在发送数据包时指定使用哪个网络设备接口。
2 使用SendPkt的流程
选择合适的网络接口以发送数据包,因为Win32于Linux的不同,需要专门选择。
对于Win32,通过libpcap取得的第一个网络设备接口(网卡)是一个虚拟网卡,无法发送数据包,而一般选择第二个网口,可以通过os.name判断操作系统并选择合适的网口。
得到的网络设备接口列表,是一个字符串列表,最终提供给发送函数的网口标志也是字符串。
构造数据包。推荐使用dpkt。
dpkt是python界通用的数据包组包和解包库,在分层构造数据包时从高层(应用层)向底层依次构造数据包。并且把高层数据包的数据作为下一层数据包的data字段来使用。
对于高性能应用,手工构造数据包也未尝不可,因为哪种方式都需要对数据包格式的深入了解。
发送数据包,使用 sendpkt.sendpacket() 。
例子见下面的代码。调用方式为 sendpkt.sendpacket(packet,device) 。第一个参数为数据包,为字符串对象,以太网帧。第二个参数为网络设备名,通过第一步获得。
3 SendPkt发送数据包的简单例子
参见SendPkt项目的单元测试 test.py 。:
import sendpkt
#构造一个需要发送的数据包
packet=”a”*80
#查找所有可用网络设备接口
devlist=sendpkt.findalldevs()
#根据操作系统选择合适的网络设备
if devlist:
if os.name==”nt”:
device=devlist[-1] #\\NPF\\….
elif os.name==”posix”:
device=devlist[0] #eth0
else:
device=devlist[0]
else:
device=””
raise OSError,”You must run in root mode”
#发送数据包
sendpkt.sendpacket(packet,device)

4 SendPkt发送ARP查询包的例子
ARP查询包的op字段为1,表示查询一个IP地址对应的MAC地址。如下是查询过程。:
#! /usr/bin/env python
# -*- coding: UTF-8 -*-
# File: arpquery.py
# Date: 2007-09-21
# Author: gashero
# Copyright@1999-2007, Harry Gashero Liu.

“””
ARP查询的测试
“””

from socket import inet_aton,inet_ntoa

import dpkt
import sendpkt

LOCALMAC=”111111″
LOCALIP=inet_aton(“192.168.1.104″)
REMOTEMAC=””
REMOTEIP=inet_aton(“192.168.1.1″)

def main():
global LOCALMAC
global LOCALIP
device=sendpkt.findalldevs()[0] #for linux is eth0
arp=dpkt.arp.ARP(
hrd=1,
pro=2048,
hln=6,
pln=4,
op=1,
sha=LOCALMAC,
spa=LOCALIP,
tha=”\x00″*6,
tpa=inet_aton(“192.168.1.1″)
)
ether=dpkt.ethernet.Ethernet(
dst=”\xff”*6,
src=LOCALMAC,
type=0x0806,
data=arp
)
#print ether
#print repr(dpkt.ethernet.Ethernet(str(ether)))
sendpkt.sendpacket(str(ether),device)
return

if __name__==”__main__”:
main()

5 参考
详细问题请发邮件到 harry.python@gmail.com 询问。