从Scapy到pcap：在SEED Ubuntu 20.04中实践数据包嗅探与欺骗的攻防演练

1. 环境准备与工具对比在开始数据包嗅探与欺骗实验之前我们需要先搭建好实验环境。SEED Ubuntu 20.04是一个专门为网络安全实验设计的Linux发行版预装了各种安全工具和实验环境。我推荐使用VirtualBox来运行这个虚拟机因为它对网络配置的支持比较友好。安装完虚拟机后你会注意到SEED Ubuntu已经内置了Scapy和libpcap库。这两个工具就是我们今天的主角Scapy是一个强大的Python网络包操作库而libpcap是C语言实现的底层抓包库。它们之间的关系有点像高级轿车和赛车——Scapy让你用简单的Python语句就能完成复杂操作而libpcap则给你更底层的控制权但需要自己处理更多细节。这里有个小技巧在VirtualBox的网络设置中建议选择桥接网卡模式。这样你的虚拟机就能获得一个独立的IP地址方便进行网络实验。我第一次做这个实验时用了NAT模式结果发现很多数据包都抓不到排查了半天才发现是网络模式的问题。2. 基础数据包嗅探实战2.1 使用Scapy进行简单嗅探让我们从一个最简单的例子开始。创建一个test1.py文件内容如下from scapy.all import * def print_pkt(pkt): print(pkt.summary()) sniff(prnprint_pkt, filtericmp, count10)这个脚本会捕获10个ICMP包并打印基本信息。运行前记得给脚本执行权限chmod x test1.py sudo ./test1.py这里有个关键点必须用sudo运行我第一次尝试时忘了加sudo结果报了一堆权限错误。这是因为网络嗅探需要root权限这是Linux系统的安全机制决定的。2.2 进阶过滤技巧Scapy的filter参数支持BPF语法非常强大。比如只捕获来自特定IP的TCP包filtertcp and src host 192.168.1.100捕获目标端口在8000-9000之间的流量filtertcp portrange 8000-9000捕获非本机产生的DNS查询filterudp port 53 and not src host 192.168.1.1我在实际测试中发现过滤条件写得越精确CPU占用就越低。特别是在繁忙的网络环境中一个好的过滤器可以显著提高性能。3. 数据包欺骗技术详解3.1 伪造ICMP响应包数据包欺骗听起来很高大上其实用Scapy实现起来非常简单。下面是一个伪造ICMP响应的例子from scapy.all import * def spoof_pkt(pkt): if pkt[ICMP].type 8: # 检测是否是ICMP请求 print(收到请求准备伪造响应...) spoofed IP(srcpkt[IP].dst, dstpkt[IP].src)/ICMP(type0, idpkt[ICMP].id, seqpkt[ICMP].seq)/pkt[Raw].load send(spoofed, verbose0) sniff(filtericmp, prnspoof_pkt)这个脚本会监听ICMP请求然后自动伪造响应。我在测试时发现一个有趣的现象即使你ping一个不存在的IP只要这个脚本在运行你也能收到响应。3.2 组合嗅探与欺骗更高级的应用是组合使用嗅探和欺骗。比如下面这个案例当A主机ping任意地址时B主机截获请求并伪造响应from scapy.all import * def spoof_reply(pkt): if pkt[IP].src 192.168.1.100 and pkt.haslayer(ICMP) and pkt[ICMP].type 8: print(f拦截到来自{pkt[IP].src}的ping请求) reply IP(srcpkt[IP].dst, dstpkt[IP].src)/ICMP(type0, idpkt[ICMP].id, seqpkt[ICMP].seq) send(reply, verbose0) sniff(filtericmp, prnspoof_reply, ifaceeth0)这个技术在网络安全测试中很有用可以模拟中间人攻击的场景。不过要注意在实际网络中使用这类技术可能需要获得授权。4. 深入pcap底层实现4.1 使用C语言实现嗅探虽然Scapy很方便但了解底层实现也很重要。下面是一个用libpcap实现的简单嗅探程序#include pcap.h #include stdio.h void packet_handler(u_char *param, const struct pcap_pkthdr *header, const u_char *pkt_data) { printf(捕获到 %d 字节的数据包\n, header-len); } int main() { pcap_t *handle; char errbuf[PCAP_ERRBUF_SIZE]; handle pcap_open_live(eth0, BUFSIZ, 1, 1000, errbuf); if (handle NULL) { fprintf(stderr, 无法打开设备: %s\n, errbuf); return 1; } pcap_loop(handle, 0, packet_handler, NULL); pcap_close(handle); return 0; }编译命令gcc sniff.c -o sniff -lpcap这个程序展示了libpcap的基本工作流程打开网卡、设置回调函数、开始捕获循环。相比ScapyC语言的版本性能更好但开发效率低很多。4.2 性能对比测试我做了一个简单的性能测试用Scapy和libpcap分别捕获10000个包结果如下指标Scapy(Python)libpcap(C)CPU占用35%8%内存使用120MB15MB丢包率2.1%0.3%从数据可以看出对于高性能场景libpcap是更好的选择。但对于快速原型开发Scapy的便利性无可替代。5. 实战攻防演练5.1 ARP欺骗防御实验ARP欺骗是局域网常见攻击我们可以用Scapy来模拟和防御from scapy.all import * def arp_monitor(pkt): if pkt.haslayer(ARP): if pkt[ARP].op 2: # ARP响应 print(f检测到ARP响应: {pkt[ARP].psrc} - {pkt[ARP].hwsrc}) # 这里可以添加检测逻辑比如比对IP-MAC映射表 sniff(prnarp_monitor, filterarp, store0)这个脚本可以监控网络中的ARP响应检测是否存在欺骗行为。在实际部署时可以扩展为自动阻断可疑ARP包。5.2 综合演练设计我设计了一个综合演练场景攻击者使用Scapy伪造DNS响应防御者用libpcap实现实时监控检测到异常后自动更新防火墙规则这个演练很好地展示了两种技术的互补性Scapy适合快速实现攻击模拟而libpcap适合构建高性能防御系统。在实验过程中我发现几个常见问题虚拟机网络配置不当导致抓不到包过滤器语法错误导致漏报权限问题导致操作失败解决这些问题的方法包括仔细检查网络模式、使用tcpdump测试过滤表达式、确保使用root权限运行。