Linux上Scapy完全指南：从入门到实战攻防

一、Scapy简介与核心优势

1.1 什么是Scapy？

Scapy是一款基于Python的交互式数据包操作工具，能够构造、发送、捕获和分析网络协议数据包。其核心特点包括：

支持超过800种协议（如TCP/IP、HTTP、DNS等）
无需依赖其他工具即可完成复杂网络操作
提供Python API和交互式命令行两种模式

Scapy工作流程

二、Linux环境安装与配置

2.1 安装Scapy

Debian/Ubuntu

sudo apt update
sudo apt install scapy -y

CentOS/RHEL

sudo yum install epel-release
sudo yum install scapy

通过pip安装最新版

pip3 install --user scapy

2.2 依赖项配置

Scapy依赖关系

三、Scapy基础操作

3.1 启动与交互模式

3.1.1 启动方式与权限要求

# 普通用户模式（功能受限）
scapy# 特权模式（推荐）
sudo scapy

3.1.2 交互式命令行功能

>>> conf  # 查看全局配置
>>> ls()  # 列出所有协议
>>> lsc() # 查看可用命令

核心命令使用分布

3.2 数据包构造与发送

3.2.1 分层协议构建原理

# 构建ICMP包（完整写法）
eth = Ether(src="00:11:22:33:44:55", dst="ff:ff:ff:ff:ff:ff")
ip = IP(src="192.168.1.100", dst="8.8.8.8", ttl=64)
icmp = ICMP(type=8, code=0)
packet = eth/ip/icmp

图3-3：协议分层结构类图

3.2.2 发送函数对比

函数	作用层级	是否需要root	典型场景
`send()`	网络层	是	发送IP/UDP/ICMP
`sendp()`	链路层	是	发送Ether/ARP
`sr()`	网络层	是	发送并接收响应
`srp()`	链路层	是	发送二层包并响应

# 发送ICMP请求（自动完成路由选择）
send(IP(dst="8.8.8.8")/ICMP())# 发送ARP广播（指定网卡）
sendp(Ether(dst="ff:ff:ff:ff:ff:ff")/ARP(pdst="192.168.1.0/24"), iface="eth0")

3.3 数据包捕获与分析

3.3.1 实时抓包与过滤

# 捕获10个TCP端口80的数据包
pkts = sniff(filter="tcp port 80", count=10)# 实时显示HTTP流量
sniff(prn=lambda x: x.summary(), lfilter=lambda x: TCP in x and x[TCP].dport == 80)

抓包过滤流程

3.3.2 数据包深度解析

pkt = pkts[0]# 查看各层字段
pkt.show() # 提取特定字段
print(f"源MAC: {pkt[Ether].src}")
print(f"TTL值: {pkt[IP].ttl}")# 十六进制转储
hexdump(pkt)

3.4 数据包保存与回放

3.4.1 文件存储格式对比

格式	命令	特点
.pcap	`wrpcap()`	Wireshark兼容格式
.pcapng	`wrpcap()`	支持元数据存储
文本	`str(pkt)`	可读性高但无法重载

# 保存捕获数据
wrpcap("http.pcap", pkts)# 读取数据包文件
pkts = rdpcap("http.pcap")

3.4.2 数据包编辑回放

数据包篡改回放流程

3.5 实用技巧集合

3.5.1 快速生成测试流量

# 生成ICMP洪水攻击测试流量
send(IP(dst="192.168.1.1")/ICMP(), loop=1, inter=0.001)

3.5.2 协议字段自动补全

>>> IP(dst="8.8.8.8")/TCP(<TAB自动补全>dport     : 目标端口sport     : 源端口seq       : 序列号flags     : 控制位

3.6 基础操作完整示例

3.6.1 网络连通性测试

# 发送ICMP请求并等待响应
ans, unans = sr(IP(dst="8.8.8.8")/ICMP(), timeout=2)
if ans:ans[0][1].show()
else:print("目标不可达！")

3.6.2 端口开放检测

res = sr1(IP(dst="192.168.1.1")/TCP(dport=80, flags="S"), timeout=1)
if res and res[TCP].flags == 0x12:  # SYN-ACKsend(IP(dst="192.168.1.1")/TCP(dport=80, flags="R"))  # 发送RST关闭连接print("端口开放！")

3.2 发送首个数据包

>>> send(IP(dst="8.8.8.8")/ICMP())
Sent 1 packets.

ICMP包发送流程

四、高级功能与协议分析

4.1 协议栈模拟与协议逆向

4.1.1 构建完整HTTP协议栈

from scapy.all import *
# 构建完整HTTP GET请求
eth = Ether(dst="00:0c:29:xx:xx:xx")  # 目标MAC
ip = IP(dst="192.168.1.100")          # 目标IP
tcp = TCP(dport=80, sport=54321, seq=1000, flags="S")  # SYN包
http = "GET /index.html HTTP/1.1\r\nHost: test.com\r\n\r\n"
packet = eth/ip/tcp/http
sendp(packet, iface="eth0")

协议栈构建流程

4.1.2 协议逆向工程实践

# 捕获并解析未知协议
pkts = sniff(filter="udp and port 5000", count=5)
pkt = pkts[0]
hexdump(pkt)  # 查看原始十六进制
pkt.show()     # 自动解析已知字段

4.2 ARP欺骗检测与防御

4.2.1 ARP检测算法实现

from scapy.all import *
arp_table = {}def arp_monitor(pkt):if ARP in pkt and pkt[ARP].op == 2:  # ARP响应if arp_table.get(pkt.psrc) != pkt.hwsrc:print(f"ARP欺骗告警！IP {pkt.psrc} MAC已从 {arp_table.get(pkt.psrc)} 改为 {pkt.hwsrc}")sniff(filter="arp", prn=arp_monitor, store=0)

ARP欺骗检测状态机

4.3 802.1Q VLAN协议操作

4.3.1 构造跨VLAN数据包

vlan_pkt = Ether()/Dot1Q(vlan=100)/IP(dst="10.0.100.1")/ICMP()
sendp(vlan_pkt, iface="eth0")

4.3.2 VLAN跳跃攻击检测

VLAN跳跃攻击原理

五、实战案例

5.1 网络诊断：全链路故障追踪

5.1.1 多协议路由追踪

ans, unans = sr(IP(dst="www.baidu.com", ttl=(1,30))/UDP()/DNS(qd=DNSQR(qname="baidu.com")))
for snd, rcv in ans:print(f"TTL {snd.ttl} | {rcv.src} | {rcv.time - snd.sent_time:.3f}ms")

5.1.2 结果可视化分析

网络延迟甘特图

5.2 安全审计：隐蔽端口扫描

5.2.1 全连接扫描 vs 半连接扫描

# 全连接扫描（易被日志记录）
ans, unans = sr(IP(dst="192.168.1.1")/TCP(dport=(1,1024), flags="S"))# 半连接扫描（隐蔽性更强）
ans = srloop(IP(dst="192.168.1.1")/TCP(dport=80, flags="S"), timeout=1, retry=-2)

5.2.2 绕过防火墙检测

隐蔽扫描策略

六、性能优化

6.1 多线程发包性能对比

模式	发包速率（pps）	CPU占用率
单线程	12,000	85%
多线程（4核）	45,000	95%
sendpfast	220,000	40%

# 使用sendpfast加速
sendpfast(pkt_stream, pps=100000, iface="eth0", loop=10)

6.2 内核级加速方案

不同加速方案架构

七、常见问题

7.1 权限问题深度解决

7.2 Windows兼容性终极方案

# 跨平台适配代码示例
from scapy.arch import get_windows_if_list
import platformif platform.system() == "Windows":print("可用网卡:", get_windows_if_list())
elif platform.system() == "Linux":print("可用网卡:", get_if_list())

建议在实验环境中验证所有案例，并参考RFC文档深入理解协议细节。希望此文对您有所帮助！

Linux上Scapy完全指南：从入门到实战攻防

Linux上Scapy完全指南：从入门到实战攻防

目录

一、Scapy简介与核心优势

1.1 什么是Scapy？

二、Linux环境安装与配置

2.1 安装Scapy

Debian/Ubuntu

CentOS/RHEL

通过pip安装最新版

2.2 依赖项配置

三、Scapy基础操作

3.1 启动与交互模式

3.1.1 启动方式与权限要求

3.1.2 交互式命令行功能

3.2 数据包构造与发送

3.2.1 分层协议构建原理

3.2.2 发送函数对比

3.3 数据包捕获与分析

3.3.1 实时抓包与过滤

3.3.2 数据包深度解析

3.4 数据包保存与回放

3.4.1 文件存储格式对比

3.4.2 数据包编辑回放

3.5 实用技巧集合

3.5.1 快速生成测试流量

3.5.2 协议字段自动补全

3.6 基础操作完整示例

3.6.1 网络连通性测试

3.6.2 端口开放检测

3.2 发送首个数据包

四、高级功能与协议分析

4.1 协议栈模拟与协议逆向

4.1.1 构建完整HTTP协议栈

4.1.2 协议逆向工程实践

4.2 ARP欺骗检测与防御

4.2.1 ARP检测算法实现

4.3 802.1Q VLAN协议操作

4.3.1 构造跨VLAN数据包

4.3.2 VLAN跳跃攻击检测

五、实战案例

5.1 网络诊断：全链路故障追踪

5.1.1 多协议路由追踪

5.1.2 结果可视化分析

5.2 安全审计：隐蔽端口扫描

5.2.1 全连接扫描 vs 半连接扫描

5.2.2 绕过防火墙检测

六、性能优化

6.1 多线程发包性能对比

6.2 内核级加速方案

七、常见问题

7.1 权限问题深度解决

7.2 Windows兼容性终极方案

相关文章