pythontcp數據包

『壹』 如何利用libpcap和python嗅探數據包

一提到Python獲取數據包的方式，相信很多Python愛好者會利用linux的libpcap軟體包或利用Windows下的WinPcap可移植版的方式進行抓取數據包，然後再利用dpkt軟體包進行協議分析，我們這里想換一個角度去思考：
1. Python版本的pcap存儲內存數據過小，也就是說緩存不夠，在高並發下容易發生丟包現象，其實C版本的也同樣存在這樣的問題，只不過Python版本的緩存實在是過低，讓人很郁悶。
2. dpkt協議分析並非必須，如果你對RFC 791和RFC 793等協議熟悉的話，完全可以使用struct.unpack的方式進行分析。
如果你平常習慣使用tcpmp抓取數據包的話，完全可以使用它來代替pcap軟體包，只不過我們需要利用tcpmp將抓取的數據以pcap格式進行保存，說道這里大家一定會想到Wireshark工具，具體命令如下：
tcpmp dst 10.13.202.116 and tcp dst port 80 -s 0 -i eth1 -w ../pcap/tcpmp.pcap -C 1k -W 5
我們首先需要對pcap文件格式有所了解，具體信息大家可以參考其他資料文檔，我這里只說其重要的結構體組成，如下：
sturct pcap_file_header
{
DWORD magic;
WORD version_major;
WORD version_minor;
DWORD thiszone;
DWORD sigfigs;
DWORD snaplen;
DWORD linktype;
}
struct pcap_pkthdr
{
struct timeval ts;
DWORD caplen;
DWORD len;
}
struct timeval
{
DWORD GMTtime;
DWORD microTime;
}
這里需要說明的一點是，因為在Python的世界裡一切都是對象，所以往往Python在處理數據包的時候感覺讓人比較麻煩。Python提供了幾個libpcapbind,http://monkey.org/~gsong/pypcap/這里有 一個最簡單的。在windows平台上,你需要先安裝winpcap,如果你已經安裝了Ethereal非常好用。一個規范的抓包過程:
import pcap
import dpkt
pc=pcap.pcap() #注，參數可為網卡名，如eth0
pc.setfilter('tcp port 80') #設置監聽過濾器
for ptime,pdata in pc: #ptime為收到時間，pdata為收到數據
print ptime,pdata #...
對抓到的乙太網V2數據包(raw packet)進行解包:
p=dpkt.ethernet.Ethernet(pdata)
if p.data.__class__.__name__=='IP':
ip='%d.%d.%d.%d'%tuple(map(ord,list(p.data.dst)))
if p.data.data.__class__.__name__=='TCP':
if data.dport==80:
print p.data.data.data
一些顯示參數nrecv,ndrop,nifdrop=pc.stats()返回的元組中，第一個參數為接收到的數據包，第二個參數為被核心丟棄的數據包。
至於對於如何監控tcpmp生成的pcap文件數據，大家可以通過pyinotify軟體包來實現，如下：
class Packer(pyinotify.ProcessEvent):
def __init__(self, proct):
self.proct = proct
self.process = None
def process_IN_CREATE(self, event):
logger.debug("create file: %s in queue" % self.process_IF_START_THREAD(event))
def process_IN_MODIFY(self, event):
self.process_IF_START_THREAD(event)
logger.debug("modify file: %s in queue" % self.process_IF_START_THREAD(event))
def process_IN_DELETE(self, event):
filename = os.path.join(event.path, event.name)
logger.debug("delete file: %s" % filename)
def process_IF_START_THREAD(self, event):
filename = os.path.join(event.path, event.name)
if filename != self.process:
self.process = filename
self.proct.put(filename)
if self.proct.qsize() > 1:
try:
logger.debug("create consumer proct.qsize: %s" % self.proct.qsize())
consumer = Consumer(self.proct)
consumer.start()
except Exception, errmsg:
logger.error("create consumer failed: %s" % errmsg)
return filename
class Factory(object):
def __init__(self, proct):
self.proct = proct
self.manager = pyinotify.WatchManager()
self.mask = pyinotify.IN_CREATE | pyinotify.IN_DELETE | pyinotify.IN_MODIFY
def work(self):
try:
try:
notifier = pyinotify.ThreadedNotifier(self.manager, Packer(self.proct))
notifier.start()
self.manager.add_watch("../pcap", self.mask, rec = True)
notifier.join()
except Exception, errmsg:
logger.error("create notifier failed: %s" % errmsg)
except KeyboardInterrupt, errmsg:
logger.error("factory has been terminated: %s" % errmsg)
在獲得要分析的pcap文件數據之後，就要對其分析了，只要你足夠了解pcap文件格式就可以了，對於我們來講只需要獲得TCP數據段的數據即可，如下：
class Writer(threading.Thread):
def __init__(self, proct, stack):
threading.Thread.__init__(self)
self.proct = proct
self.stack = stack
self.pcap_pkthdr = {}
def run(self):
while True:
filename = self.proct.get()
try:
f = open(filename, "rb")
readlines = f.read()
f.close()
offset = 24
while len(readlines) > offset:
self.pcap_pkthdr["len"] = readlines[offset+12:offset+16]
try:
length = struct.unpack("I", self.pcap_pkthdr["len"])[0]
self.stack.put(readlines[offset+16:offset+16+length])
offset += length + 16
except Exception, errmsg:
logger.error("unpack pcap_pkthdr failed: %s" % errmsg)
except IOError, errmsg:
logger.error("open file failed: %s" % errmsg)
在獲得TCP數據段的數據包之後，問題就簡單多了，根據大家的具體需求就可以進行相應的分析了，我這里是想分析其HTTP協議數據，同樣也藉助了dpkt軟體包進行分析，如下：
def worker(memcache, packet, local_address, remote_address):
try:
p = dpkt.ethernet.Ethernet(packet)
if p.data.__class__.__name__ == "IP":
srcip = "%d.%d.%d.%d" % tuple(map(ord, list(p.data.src)))
dstip = "%d.%d.%d.%d" % tuple(map(ord, list(p.data.dst)))
if p.data.data.__class__.__name__ == "TCP":
tcpacket = p.data.data
if tcpacket.dport == 80 and dstip == local_address:
srcport = tcpacket.sport
key = srcip + ":" + str(srcport)
if tcpacket.data:
if not memcache.has_key(key):
memcache[key] = {}
if not memcache[key].has_key("response"):
memcache[key]["response"] = None
if memcache[key].has_key("data"):
memcache[key]["data"] += tcpacket.data
else:
memcache[key]["data"] = tcpacket.data
else:
if memcache.has_key(key):
memcache[key]["response"] = dpkt.http.Request(memcache[key]["data"])
try:
stackless.tasklet(connection)(memcache[key]["response"], local_address, remote_address)
stackless.run()
except Exception, errmsg:
logger.error("connect remote remote_address failed: %s", errmsg)
logger.debug("old headers(none content-length): %s", memcache[key]["response"])
memcache.pop(key)
except Exception, errmsg:
logger.error("dpkt.ethernet.Ethernet failed in worker: %s", errmsg)
如果大家只是想單純的獲取IP地址、埠、流量信息，那麼問題就更簡單了，這里只是拋磚引玉。另外再提供一段代碼供參考:
import pcap, dpkt, struct
import binascii
def main():
a = pcap.pcap()
a.setfilter('udp portrange 4000-4050')
try:
for i,pdata in a:
p=dpkt.ethernet.Ethernet(pdata)
src='%d.%d.%d.%d' % tuple(map(ord,list(p.data.src)))
dst='%d.%d.%d.%d' % tuple(map(ord,list(p.data.dst)))
sport = p.data.data.sport
dport = p.data.data.dport
qq = int( binascii.hexlify(p.data.data.data[7:11]) , 16 )
print 'QQ: %d, From: %s:%d , To: %s:%d' % (qq,src,sport,dst,dport)
except Exception,e:
print '%s' % e
n = raw_input()
if __name__ == '__main__':
main()

『貳』 Python3 & TCP協議和UDP協議的特點和區別

優點：
（1）TCP是面向連接的運輸層協議；
（2）每一條TCP連接只能有兩個端點（即兩個套接字），只能是點對點的；
（3）TCP提供可靠的傳輸服務。傳送的數據無差錯、不丟失、不重復、按序到達；
（4）TCP提供全雙工通信。允許通信雙方的應用進程在任何時候都可以發送數據，因為兩端都設有發送緩存和接受緩存；
（5）面向位元組流。雖然應用程序與TCP交互是一次一個大小不等的數據塊，但TCP把這些數據看成一連串無結構的位元組流，它不保證接收方收到的數據塊和發送方發送的數據塊具有對應大小關系，例如，發送方應用程序交給發送方的TCP10個數據塊，但就受訪的TCP可能只用了4個數據塊久保收到的位元組流交付給上層的應用程序，但位元組流完全一樣。

缺點：
慢，效率低，佔用系統資源高，易被攻擊 TCP在傳遞數據之前，要先建連接，這會消耗時間，在數據傳遞時，確認機制、重傳機制、擁塞控制機制等都會消耗大量的時間，而且要在每台設備上維護所有的傳輸連接。事實上，每個連接都會佔用系統的CPU、內存等硬體資源。因為TCP有確認機制、三次握手機制，這些也導致TCP容易被人利用，實現DOS、DDOS、CC等攻擊。

TCP的應用場景:
當對網路通訊質量有要求的時候。例如：整個數據要准確無誤的傳遞給對方，這往往用於一些要求可靠的應用。如：用於文件傳輸（ftp HTTP 對數據准確性要求高，速度可以相對慢），發送或接收郵件（POP IMAP SMTP 對數據准確性要求高，非緊急應用），遠程登錄（TELNET SSH 對數據准確性有一定要求，有連接的概念）等等。

優點：
（1）UDP是無連接的傳輸層協議；
（2）UDP使用盡最大努力交付，不保證可靠交付；
（3）UDP是面向報文的，對應用層交下來的報文，不合並，不拆分，保留原報文的邊界；
（4）UDP沒有擁塞控制，因此即使網路出現擁塞也不會降低發送速率；
（5）UDP支持一對一一對多多對多的交互通信；
（6）UDP的首部開銷小，只有8位元組．

缺點：
不可靠，不穩定。 因為UDP沒有TCP那些可靠的機制，在數據傳遞時，如果網路質量不好，就會很容易丟包。

UDP的應用場景：
當對網路通訊質量要求不高的時候，要求網路通訊速度能盡量的快，這時就可以使用UDP。 UDP一般用於即時通信（QQ聊天 對數據准確性和丟包要求比較低，但速度必須快），在線視頻（RTSP 速度一定要快，保證視頻連續，但是偶爾花了一個圖像幀，人們還是能接受的），網路語音電話（VoIP 語音數據包一般比較小，需要高速發送，偶爾斷音或串音也沒有問題）等等。

（1）TCP面向連接（如打電話要先撥號建立連接）;UDP是無連接的，即發送數據之前不需要建立連接
（2）TCP提供可靠的服務。也就是說，通過TCP連接傳送的數據，無差錯，不丟失，不重復，且按序到達;UDP盡最大努力交付，即不保證可靠交付
（3）TCP面向位元組流，實際上是TCP把數據看成一連串無結構的位元組流;UDP是面向報文的UDP沒有擁塞控制，因此網路出現擁塞不會使源主機的發送速率降低（對實時應用很有用，如IP電話，實時視頻會議等）
（4）每一條TCP連接只能是點到點的;UDP支持一對一，一對多，多對一和多對多的交互通信
（5）TCP首部開銷20位元組;UDP的首部開銷小，只有8個位元組
（6）TCP的邏輯通信信道是全雙工的可靠信道，UDP則是不可靠信道

HTTP、HTTPS、FTP、TELNET、SMTP(簡單郵件傳輸協議)協議基於可靠的TCP協議。TFTP、DNS、DHCP、TFTP、SNMP(簡單網路管理協議)、RIP基於不可靠的UDP協議

『叄』 Python網路編程9-實現TCP三次握手與四次揮手

   見TCP流量分析祥爛塌篇
   TCP 流量分析 - (jianshu.com)

  使用一台windows主機作為TCP Server，使用一台Linux作為TCP Client，發起TCP連接，發送數據，結束連接。

  以下Python腳本通過Socket實現TCP Server端，謹圓接收TCP連接。

  以下Python腳本通過歷亂Scapy實現TCP Client端，向Server端發起TCP連接。

  首先在Windows主機上運行TCP Server腳本。

  在linux主機上運行TCP Client腳本後，會將TCP交互過程列印出來。

  通過科來的csna抓包，並追蹤TCP流，如下為交互的數據包

『肆』 用python怎麼發送tcp協議的16進制數據包

一般字元串可以直接發，不是可讀的也可以用"\x33\x22"這種發。
如果是一列數之類的，可以用struct的pack打包成字元串發送。

『伍』 怎麼用python和原始套接字發送一tcp數據包

TCP的首部格式：
0 1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Source Port | Destination Port |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Sequence Number |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Acknowledgment Number |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Data | |U|A|P|R|S|F| |
| Offset| Reserved |R|C|S|S|Y|I| Window |
| | |G|K|H|T|N|N| |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Checksum | Urgent Pointer |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Options | Padding |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| data |
-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-

—Source Port是源埠，16位。
—Destination Port是目的埠，16位。
—Sequence Number是發送數據包中的第一個位元組的序列號，32位。
—Acknowledgment Number是確認序列號，32位。
—Data Offset是數據偏移，4位，該欄位的值是TCP首部（包括選項）長度乘以4。
—標志位： 6位，URG表示Urgent Pointer欄位有意義：
ACK表示Acknowledgment Number欄位有意義
PSH表示Push功能，RST表示復位TCP連接
SYN表示SYN報文（在建立TCP連接的時候使用）
FIN表示沒有數據需要發送了（在關閉TCP連接的時候使用）
Window表示接收緩沖區的空閑空間，16位，用來告訴TCP連接對端自己能夠接收的最大數據長度。
—Checksum是校驗和，16位。
—Urgent Pointers是緊急指針，16位，只有URG標志位被設置時該欄位才有意義，表示緊急數據相對序列號（Sequence Number欄位的值）的偏移。
更多TCP協議的詳細信息可以在網上輕易找到，在這里不再贅述。
為了建立一個可以自己構造數據的包，我們使用"SOCK_RAW"這種socket格式，使用"IPPROTO_RAW"協議，它會告訴系統我們將提供網路層和傳輸層。

s = socket.socket(socket.AF_INET,socket.SOCK_RAW,)
通過這個簡單的類，我們可以進行IP頭部信息構造
class ip(object):
def __init__(self, source, destination):
self.version = 4

『陸』 用python怎麼實現tcp發送16進制包

你好：
看了你們的州衫對話，表示無法冊猛腔忍受了；
這是在問問題知鍵呢；
還是其他。

『柒』 Python 之 Socket編程(TCP/UDP)

socket(family,type[,protocal]) 使用給定的地址族、套接字類型、協議編號（默認為0）來創建套接字。

有效的埠號： 0～ 65535
但是小於1024的埠號基本上都預留給了操作系統
POSIX兼容系統(如Linux、Mac OS X等)，在/etc/services文件中找到這些預留埠與的列表

面向連接的通信提供序列化、可靠的和不重復的數據交付，而沒有記錄邊界。意味著每條消息都可以拆分多個片段，並且每個消息片段都能到達目的地，然後將它們按順序組合在一起,最後將完整的信息傳遞給等待的應用程序。
實現方式(TCP)：
傳輸控制協議（TCP）， 創建TCP必須使用SOCK_STREAM作為套接字類型
因為這些套接字（AF_INET）的網路版本使用網際網路協議(IP)來搜尋網路中的IP,
所以整個系統通常結合這兩種協議(TCP/IP)來進行網路間數據通信。

數據報類型的套接字, 即在通信開始之前並不需要建議連接,當然也無法保證它的順序性、可靠性或重復性
實現方式(UDP)
用戶數據包協議（UDP), 創建UDP必須使用SOCK_DGRAM (datagram)作為套接字類型
它也使用網際網路來尋找網路中主機，所以是UDP和IP的組合名字UDP/IP

注意點:
1）TCP發送數據時，已建立好TCP連接，所以不需要指定地址。UDP是面向無連接的，每次發送要指定是發給誰。
2）服務端與客戶端不能直接發送列表，元組，字典。需要字元串化repr(data)。

TCP的優點： 可靠，穩定 TCP的可靠體現在TCP在傳遞數據之前，會有三次握手來建立連接，而且在數據傳遞時，有確認、窗口、重傳、擁塞控制機制，在數據傳完後，還會斷開連接用來節約系統資源。

TCP的缺點： 慢，效率低，佔用系統資源高，易被攻擊 TCP在傳遞數據之前，要先建連接，這會消耗時間，而且在數據傳遞時，確認機制、重傳機制、擁塞控制機制等都會消耗大量的時間，而且要在每台設備上維護所有的傳輸連接，事實上，每個連接都會佔用系統的CPU、內存等硬體資源。 而且，因為TCP有確認機制、三次握手機制，這些也導致TCP容易被人利用，實現DOS、DDOS、CC等攻擊。

什麼時候應該使用TCP : 當對網路通訊質量有要求的時候，比如：整個數據要准確無誤的傳遞給對方，這往往用於一些要求可靠的應用，比如HTTP、HTTPS、FTP等傳輸文件的協議，POP、SMTP等郵件傳輸的協議。 在日常生活中，常見使用TCP協議的應用如下： 瀏覽器，用的HTTP FlashFXP，用的FTP Outlook，用的POP、SMTP Putty，用的Telnet、SSH QQ文件傳輸.

UDP的優點： 快，比TCP稍安全 UDP沒有TCP的握手、確認、窗口、重傳、擁塞控制等機制，UDP是一個無狀態的傳輸協議，所以它在傳遞數據時非常快。沒有TCP的這些機制，UDP較TCP被攻擊者利用的漏洞就要少一些。但UDP也是無法避免攻擊的，比如：UDP Flood攻擊……

UDP的缺點： 不可靠，不穩定 因為UDP沒有TCP那些可靠的機制，在數據傳遞時，如果網路質量不好，就會很容易丟包。

什麼時候應該使用UDP： 當對網路通訊質量要求不高的時候，要求網路通訊速度能盡量的快，這時就可以使用UDP。 比如，日常生活中，常見使用UDP協議的應用如下： QQ語音 QQ視頻 TFTP ……

『捌』 Python 實現埠掃描

一、常見埠掃描的原理

0、秘密掃描

秘密掃描是一種不被審計工具所檢測的掃描技術。

它通常用於在通過普通的防火牆或路由器的篩選（filtering）時隱藏自己。

秘密掃描能躲避IDS、防火牆、包過濾器和日誌審計，從而獲取目標埠的開放或關閉的信息。由於沒有包含TCP 3次握手協議的任何部分，所以無法被記錄下來，比半連接掃描更為隱蔽。

但是這種掃描的缺點是掃描結果的不可靠性會增加，而且掃描主機也需要自己構造IP包。現有的秘密掃描有TCP FIN掃描、TCP ACK掃描、NULL掃描、XMAS掃描和SYN/ACK掃描等。

1、Connect()掃描

此掃描試圖與每一個TCP埠進行「三次握手」通信。如果能夠成功建立接連，則證明埠開發，否則為關閉。准確度很高，但是最容易被防火牆和IDS檢測到，並且在目標主機的日誌中會記錄大量的連接請求以及錯誤信息。

TCP connect埠掃描服務端與客戶端建立連接成功（目標埠開放）的過程：

① Client端發送SYN；

② Server端返回SYN/ACK，表明埠開放；

③ Client端返回ACK，表明連接已建立；

④ Client端主動斷開連接。

建立連接成功（目標埠開放）

TCP connect埠掃描服務端與客戶端未建立連接成功（目標埠關閉）過程：

① Client端發送SYN；

② Server端返回RST/ACK，表明埠未開放。

優點：實現簡單，對操作者的許可權沒有嚴格要求（有些類型的埠掃描需要操作者具有root許可權），系統中的任何用戶都有權力使用這個調用，而且如果想要得到從目標埠返回banners信息，也只能採用這一方法。

另一優點是掃描速度快。如果對每個目標埠以線性的方式，使用單獨的connect()調用，可以通過同時打開多個套接字，從而加速掃描。

缺點：是會在目標主機的日誌記錄中留下痕跡，易被發現，並且數據包會被過濾掉。目標主機的logs文件會顯示一連串的連接和連接出錯的服務信息，並且能很快地使它關閉。

2、SYN掃描

掃描器向目標主機的一個埠發送請求連接的SYN包，掃描器在收到SYN/ACK後，不是發送的ACK應答而是發送RST包請求斷開連接。這樣，三次握手就沒有完成，無法建立正常的TCP連接，因此，這次掃描就不會被記錄到系統日誌中。這種掃描技術一般不會在目標主機上留下掃描痕跡。但是，這種掃描需要有root許可權。

·埠開放：（1）Client發送SYN；（2）Server端發送SYN/ACK；（3）Client發送RST斷開（只需要前兩步就可以判斷埠開放）

·埠關閉：（1）Client發送SYN；（2）Server端回復RST（表示埠關閉）

優點：SYN掃描要比TCP Connect()掃描隱蔽一些，SYN僅僅需要發送初始的SYN數據包給目標主機，如果埠開放，則相應SYN-ACK數據包；如果關閉，則響應RST數據包；

3、NULL掃描

反向掃描—-原理是將一個沒有設置任何標志位的數據包發送給TCP埠，在正常的通信中至少要設置一個標志位，根據FRC 793的要求，在埠關閉的情況下，若收到一個沒有設置標志位的數據欄位，那麼主機應該舍棄這個分段，並發送一個RST數據包，否則不會響應發起掃描的客戶端計算機。也就是說，如果TCP埠處於關閉則響應一個RST數據包，若處於開放則無相應。但是應該知道理由NULL掃描要求所有的主機都符合RFC 793規定，但是windows系統主機不遵從RFC 793標准，且只要收到沒有設置任何標志位的數據包時，不管埠是處於開放還是關閉都響應一個RST數據包。但是基於Unix(*nix,如Linux)遵從RFC 793標准，所以可以用NULL掃描。 經過上面的分析，我們知道NULL可以辨別某台主機運行的操作系統是什麼操作系統。

埠開放：Client發送Null，server沒有響應

埠關閉：（1）Client發送NUll；（2）Server回復RST

說明：Null掃描和前面的TCP Connect（）和SYN的判斷條件正好相反。在前兩種掃描中，有響應數據包的表示埠開放，但在NUll掃描中，收到響應數據包表示埠關閉。反向掃描比前兩種隱蔽性高些，當精確度也相對低一些。

用途：判斷是否為Windows系統還是Linux。

4、FIN掃描

與NULL有點類似，只是FIN為指示TCP會話結束，在FIN掃描中一個設置了FIN位的數據包被發送後，若響應RST數據包，則表示埠關閉，沒有響應則表示開放。此類掃描同樣不能准確判斷windows系統上埠開發情況。

·埠開放：發送FIN，沒有響應

·埠關閉：（1）發送FIN；（2）回復RST

5、ACK掃描

掃描主機向目標主機發送ACK數據包。根據返回的RST數據包有兩種方法可以得到埠的信息。方法一是： 若返回的RST數據包的TTL值小於或等於64，則埠開放，反之埠關閉。

6、Xmas-Tree掃描

通過發送帶有下列標志位的tcp數據包。

·URG：指示數據時緊急數據，應立即處理。

·PSH：強制將數據壓入緩沖區。

·FIN：在結束TCP會話時使用。

正常情況下，三個標志位不能被同時設置，但在此種掃描中可以用來判斷哪些埠關閉還是開放，與上面的反向掃描情況相同，依然不能判斷windows平台上的埠。

·埠開放：發送URG/PSH/FIN，沒有響應

·埠關閉：（1）發送URG/PSH/FIN，沒有響應；（2）響應RST

XMAS掃描原理和NULL掃描的類似，將TCP數據包中的ACK、FIN、RST、SYN、URG、PSH標志位置1後發送給目標主機。在目標埠開放的情況下，目標主機將不返回任何信息。

7、Dump掃描

也被稱為Idle掃描或反向掃描，在掃描主機時應用了第三方僵屍計算機掃描。由僵屍主機向目標主機發送SYN包。目標主機埠開發時回應SYN|ACK，關閉時返回RST，僵屍主機對SYN|ACK回應RST，對RST不做回應。從僵屍主機上進行掃描時，進行的是一個從本地計算機到僵屍主機的、連續的ping操作。查看僵屍主機返回的Echo響應的ID欄位，能確定目標主機上哪些埠是開放的還是關閉的。

二、Python 代碼實現

1、利用Python的Socket包中的connect方法，直接對目標IP和埠進行連接並且嘗試返回結果，而無需自己構建SYN包。

2、對IP埠進行多線程掃描，注意的是不同的電腦不同的CPU每次最多創建的線程是不一樣的，如果創建過多可能會報錯，需要根據自己電腦情況修改每次掃描的個數或者將seelp的時間加長都可以。

看完了嗎？感覺動手操作一下把！

python學習網，免費的在線學習python平台，歡迎關注！

本文轉自：https://www.jianshu.com/p/243bb7cfc40f

『玖』 Python網路編程 -- TCP/IP

首先放出一個 TCP/IP 的程序，這里是單線程伺服器與客戶端，在多線程一節會放上多線程的TCP/IP服務程序沖戚拍。

這里將服務端和客戶端放到同一個程序當中，方便對比服務端與客戶端的不同。

TCP/IP是網際網路的通信協議，其參考OSI模型，也採用了分層的方式，對每一層制定了相應的標准。

網際協議（IP）是為全世界通過互聯網連接的計算機賦予統一地址系統的機制，它使得數據包能夠從互聯網的一端發送至另一端，如 130.207.244.244，為了便於記憶，常用主機名代替IP地址，例如 .com。

UDP (User Datagram Protocol，用戶數據報協議) 解決了上述第一個問題，通過埠號來實現了多路復用（用不同的埠區分不同的應用程序）但是使用UDP協議的網路程序需要自己處理丟包、重包和包的亂序問題。

TCP (Transmission Control Protocol，傳輸控制協議) 解決了上述兩個問題，同樣使用埠號實現了復用。

TCP 實現可靠連接的方法：

socket通信模型及 TCP 通信過程如下兩張圖。

[圖片上傳失敗...(image-6d947d-1610703914730)]

[圖片上傳失敗...(image-30b472-1610703914730)]

socket.getaddrinfo(host, port, family, socktype, proto, flags)
返回： [(family, socktype, proto, cannonname, sockaddr), ] 由元組組成的列表散羨。
family：表示socket使用的協議簇， AF_UNIX : 1, AF_INET: 2, AF_INET6 : 10。 0 表示不指定。
socktype: socket 的類型， SOCK_STREAM : 1, SOCK_DGRAM : 2, SOCK_RAW : 3
proto: 協議， 套接字所用的協議，如果不指定， 則為 0。 IPPROTO_TCP : 6, IPPRTOTO_UDP : 17
flags：標記，限制返回內容。 AI_ADDRCONFIG 把計算機無法連接的所有地址都過濾掉（如果一個機構既有IPv4，又有IPv6，而主機只有IPv4，則會把 IPv6過濾掉）
AI _V4MAPPED, 如果本機只有IPv6，服務卻只有IPv4，這個標記會將 IPv4地址重新編碼為可實際使用的IPv6地址。
AI_CANONNAME，返回規范主機名：cannonname。
getaddrinfo(None, 'smtp', 0, socket.SOCK_STREAM, 0, socket.AP_PASSIVE)
getaddrinfo('ftp.kernel.org', 'ftp', 0, 'socket.SOCK_STREAM, 0, socket.AI_ADDRCONFIG | socket.AI_V4MAPPED)
利用已經通信的套接字名提供給getaddrinfo
mysock = server_sock.accept()
addr, port = mysock.getpeername()
getaddrinfo(addr, port, mysock.family, mysock.type, mysock.proto, socket.AI_CANONNAME)

TCP 數據發送模式：

由於 TCP 是發送流式數據，並且會自動分割發送的數據包，而仔槐且在 recv 的時候會阻塞進程，直到接收到數據為止，因此會出現死鎖現象，及通信雙方都在等待接收數據導致無法響應，或者都在發送數據導致緩存區溢出。所以就有了封幀(framing)的問題，即如何分割消息，使得接收方能夠識別消息的開始與結束。

關於封幀，需要考慮的問題是， 接收方何時最終停止調用recv才是安全的？整個消息或數據何時才能完整無缺的傳達？何時才能將接收到的消息作為一個整體來解析或處理。

適用UDP的場景：

由於TCP每次連接與斷開都需要有三次握手，若有大量連接，則會產生大量的開銷，在客戶端與伺服器之間不存在長時間連接的情況下，適用UDP更為合適，尤其是客戶端太多的時候。

第二種情況： 當丟包現象發生時，如果應用程序有比簡單地重傳數據聰明得多的方法的話，那麼就不適用TCP了。例如，如果正在進行音頻通話，如果有1s的數據由於丟包而丟失了，那麼只是簡單地不斷重新發送這1s的數據直至其成功傳達是無濟於事的。反之，客戶端應該從傳達的數據包中任意選擇一些組合成一段音頻（為了解決這一問題，一個智能的音頻協議會用前一段音頻的高度壓縮版本作為數據包的開始部分，同樣將其後繼音頻壓縮，作為數據包的結束部分），然後繼續進行後續操作，就好像沒有發生丟包一樣。如果使用TCP，那麼這是不可能的，因為TCP會固執地重傳丟失的信息，即使這些信息早已過時無用也不例外。UDP數據報通常是互聯網實時多媒體流的基礎。

參考資料：

『拾』 在linux下，python怎麼才能抓到網卡上的所有TCP數據包

Ethereal 自帶許多協議的 decoder,簡單,易用,基於winpcap的一個開源的軟體.但是它的架構並不靈活,如何你要加入一個自己定義的的解碼器,得去修改 Ethereal的代碼,再重新編譯,很煩瑣.對於一般的明文 協議,沒有什麼問題,但是對於加密協議,比如網路游戲,客戶端程序一般會在剛連接上的時候,發送一個隨機密鑰,而後的報文都會用這個密鑰進行加密,如此. 要想破解,得要有一個可編程的抓包器.
libpcap是一個不錯的選擇,但是對於抓包這樣需要反復進行」試 驗->修改」這個過程的操作,c 語言顯然不是明智的選擇.
Python提供了幾個libpcapbind。在windows平台上,你需要先安裝winpcap,如果你已經安裝了Ethereal非常好用
一個規范的抓包過程
import pcap
import dpkt
pc=pcap.pcap() #注，參數可為網卡名，如eth0
pc.setfilter('tcp port 80') #設置監聽過濾器
for ptime,pdata in pc: #ptime為收到時間，pdata為收到數據
print ptime,pdata #...
對抓到的乙太網V2數據包(raw packet)進行解包
p=dpkt.ethernet.Ethernet(pdata)
if p.data.__class__.__name__=='IP':
ip='%d.%d.%d.%d'%tuple(map(ord,list(p.data.dst)))
if p.data.data.__class__.__name__=='TCP':
if data.dport==80:
print p.data.data.data # by gashero
一些顯示參數
nrecv,ndrop,nifdrop=pc.stats()
返回的元組中，第一個參數為接收到的數據包，(by gashero)第二個參數為被核心丟棄的數據包。