1

可能性のある SYS スキャンを検出するには、.pcap ファイルを解析する必要があります。受信した SYS+ACK パケットの数の 3 倍の SYS パケットを送信した IP アドレスの IP アドレスを表示できる必要があります。これで、これを実装する方法の一般的なアイデアが得られました。私の問題は、pcap ファイルを解析するときに、異なる SYS パケットを取得する方法 (送受信されたパケットを区別する方法) がないことです。私は他の投稿とドキュメントを見てきましたが、運が悪かったです。

次のように少し始まるPythonプログラムを開始しました。

import dptk

    //take in command line arguement
    file = arg

        openFile = open(file)
        pcap = dpkt.pcap.Reader(openFile)

    //not sure about these two lines
        syn_flag = ( tcp.flags & dpkt.tcp.TH_SYN ) != 0       
        ack_flag = ( tcp.flags & dpkt.tcp.TH_ACK ) != 0

これらの最後の 2 行を呼び出すと、pcap からすべての SYS パケットとすべての ACK パケットを取得できますか? どちらが送受信されたかを確認するにはどうすればよいですか?

4

1 に答える 1

-1

ここにある Scapy ツールを使用することをお勧めします。Scapy はパケットの生成および操作ツールであり、パケットを分析するための大きな柔軟性を提供します。以下は、Scapy コードがどのように見えるかの簡単な例です。

pkts = PcapReader(inFile)
for p in pkts:
        F = bin(p['TCP'].flags)
        if F == SYN # 0x02:
            # Process Syn Packet
        elif F == ACK # 0x10:
            # Process Ack Packet

Scapy はそのインタープリターから使用できます。または、Scapy フレームワークを独自の環境にインポートすることもできます

于 2015-12-01T22:36:27.933 に答える