從特定客戶端捕獲數據包UDP（Python）

Question

我有一個關於從特定客戶端嗅探數據包的問題。我運行一個非常簡單的UDP服務器，如下所示：

from socket import * 

IPv4 = "" 
Port = 54345 

ServerSock = socket(AF_INET, SOCK_DGRAM) # UDP 
ServerSock.bind((IPv4, Port)) 
print "Socket is ready to receive data.." 

while True: 
    data, addr = ServerSock.recvfrom(1024) # buffer size is 1024 bytes 
    print data 

我打算抓住每一個涉及到的端口號（54345）數據包，並解析其標頭值。我認爲這是可行的，如果包保存到文件.pcap和可能使用Scapy的處理它們，但它可以處理每一個數據包，一旦它到達使用「socket.recvfrom」？謝謝

Answer 1

您已經掌握了相關數據。但是，你得到的是UDP數據包和源地址;如果您想要完整的原始數據包，使用IPv4和UDP標頭，則不同。

在某些平臺上，你可以設置一個正常的UDP套接字爲IP_HDRINCL，或者還有其他的等價物。如果你這樣做，每個recvfrom將包括數據的報頭，所以你已經得到了你想要的一切。

在其他平臺上，您可以使用SOCK_RAW而不是SOCK_DGRAM。你可以用原始套接字做什麼變化很大。在許多Unix平臺上，可以使用IPPROTO_UDP與SOCK_RAW，然後bind爲正常的UDP地址和端口，雖然可能有限制，並且它們在每個平臺上都不相同。例如，在OS X上，您必須是root用戶才能創建原始套接字，並且您只能將原始套接字綁定到單接口地址（即沒有0​​/INADDR_ANY/'0.0.0.0'）。如果谷歌爲「SOCK_RAW的Python」和「SOCK_RAW」你應該能夠找到你所需要的。 （sockets module docs中的最後一個示例顯示瞭如何在Windows上使用原始套接字。）

獲得數據後，將其保存到pcap文件並不困難。該格式在The Wireshark Wiki上的LibpcapFileFormat處有記錄。如果您有與STDLIB struct模塊任何熟悉，它應該很容易找出如何寫這個格式。這裏有一個簡單的例子：

pcap_hdr = struct.pack('=IHHiIII', 
         0xa1b2c3d4, # magic number 
         2, 4,  # pcap 2.4 format 
         0,   # UTC timezone for timestamps 
         0,   # "in practice, all tools set it to 0" 
         65535,  # max packet length 
         228)  # LINKTYPE_IPV4, or maybe you want LINKTYPE_RAW 
pcapfile.write(pcap_hdr) 

如果你不想自己做，我沒有使用圖書館寫PCAP文件的任何經驗，但scapy將是我首先關注的地方，然後python-libpcap綁定爲libpcap/WinPcap。如果沒有這些工作，檢查PyPI。

如果所有這些聽起來超出了你的意思，你可能不想這樣做。只需運行你的UDP服務器，並使用Wireshark捕獲所有發送給它的數據包。

Answer 2

是的，這是可能的。這就是你的程序實際上已經做到的。