实验环境

Lab Task Set 1: Using Scapy to Sniff and Spoof Packets

        本节实验要求：借助Scapy库，实现网络流量的捕获与伪造。

Task 1.1: Sniffing Packets

        本节需要实现捕获网络icmp数据报的程序，在此之前，先使用ifconfig查看一下attacker主机的监听网卡

        之后实现简单的sniff程序。所有的container容器共享Labsetup/volumes文件夹，可以直接把源代码文件建在这里，在container的/volumes底下即可访问。

from scapy.all import *
# sniff的钩子函数
def print_pkt(pkt):
    pkt.show()
sniff(iface = 'br-cf2de628c12e', filter = 'icmp', prn = print_pkt)

         Task 1.1A: 在Attacker主机上运行以上程序，并在HostA主机上ping 10.9.0.6，即可在Attacker主机上发现捕获的ICMP报文

        这里使用的是root用户启动sniff程序，使用命令su seed切换到seed用户运行程序，程序会反馈权限错误！

        Task 1.1B： sniff函数中的filter控制程序会捕获的流量数据，上面的程序只会捕获ICMP数据。

         修改filter，使其只捕获来源IP为10.9.0.5，并且目的端口号为23的TCP数据

filter = 'tcp and ip src 10.9.0.5 and dst port 23'

        目的端口23为telnet的专用端口号，在HostA上使用命令telnet 10.9.0.6发起请求，该请求将被捕获

        修改filter，使其能够拦截任何来自或发往子网128.230.0.0/16的流量

filter = 'net 128.230.0.0/16'

         同样在HostA上ping 1288.230.0.5，无论该地址能否正常访问，都应该能够获取到对应的ICMP数据。（一定能收到ICMP请求报文）

                 接收到的ICMP差错报文

 Task 1.2: Spoofing ICMP Packets

        本节实验通过Scapy伪造一个ICMP数据包

from scapy.all import *

ip = IP()
ip.src = '128.230.0.5'
ip.dst = '10.9.0.5'
icmp = ICMP()
send(ip/icmp)

        我们在HostA上使用命令tcpdump -i eth0 -n监听HostA的网卡，然后在attacker上启动程序。程序会伪造一条128.230.0.5的ICMP请求发往HostA。（之前实验已知128.230.0.5是不可达的）

Task 1.3: Traceroute

        本节实验需要实现计算到目的主机的路由链路。IP数据报中的TTL字段控制报文可以经过几次路由转发，我们初始设置TTL为1，该报文抵达第一个路由时，TTL归0，于是路由器抛弃该报文，并反馈错误（其中包含路由器IP等信息）。基于该原理，我们不断增加TTL的值，即可不断得知路由转发链路上的路由器信息。

from socket import timeout
from tabnanny import verbose
from scapy.all import *

ip = IP()
ip.dst = '110.242.68.4'  # baidu的IP之一
icmp = ICMP()

for ttl in range(1, 64):
    ip.ttl = ttl
    reply = sr1(ip/icmp, timeout = 1, verbose = False)
    if reply is None:
        continue
    # ICMP超时消息:数据包到达中间路由器
    if reply.getlayer(ICMP).type == 11 and reply.getlayer(ICMP).code == 0:
        print(f'{ttl}: {reply[IP].src}')
        continue
    # ICMP端口不可达:数据包到达不存在的目的主机
    if reply.getlayer(ICMP).type == 3 and reply.getlayer(ICMP).code == 3:
        print(f'{ttl}: {reply[IP].src}')
        break
    print(f'{ttl}: {reply[IP].src}')
    break

        运行结果如下（路由是变化的，结果不固定）

Task 1.4: Sniffing and-then Spoofing

        结合sniff和spoofing程序，使attacker拦截到HostA的ping请求后，伪造回复报文给HostA

from scapy.all import *
def spoof(pkt):
    if ICMP in pkt and 8 == pkt[ICMP].type:
        ip = IP(src = pkt[IP].dst, dst = pkt[IP].src)
        ip.ihl = pkt[IP].ihl
        ip.ttl = 99
        icmp = ICMP(type = 0)
        icmp.id = pkt[ICMP].id
        icmp.seq = pkt[ICMP].seq
        data = pkt[Raw].load
        send(ip/icmp/data, verbose=False)
sniff(iface = 'br-cf2de628c12e', filter = 'icmp and ip src 10.9.0.5', prn = spoof)

       启动程序后，在HostA上ping 128.230.0.5查看效果。HostA接收到了attacker的伪造ICMP，同时也接收到了来自128.230.0.5/16网络的ICMP报文

        但当ping 10.9.0.99时则没有收到attacker的ICMP。原因在于10.9.0.99与HostA处于同一子网，因此HostA会先广播ARP请求询问10.9.0.99的MAC地址，之后才会发送ICMP请求。但由于10.9.0.99不存在，因此HostA迟迟收不到ARP回复，自然不会发送ICMP请求。