我正在编写一个程序,用于捕获用于网络安全测试的Dot11数据包,在这些捕获的数据包中,我获取数据,如下所示:
<RadioTap version=0 pad=0 len=36 present=TSFT+Flags+Rate+Channel+dBm_AntSignal+b14+b29+Ext notdecoded=' \x08\x00\x00\x00\x00\x00\x00\xd5~\xbb*\x00\x00\x00\x00\x10\x02\x99\t\xa0\x00\xbd\x00\x00\x00\xbd\x00' |<Dot11 subtype=11L type=Management proto=0L FCfield=retry ID=14849 addr1=48:ee:0c:f4:b7:ea addr2=00:26:82:8e:9a:d4 addr3=48:ee:0c:f4:b7:ea SC=46176 addr4=None |<Dot11Auth algo=open seqnum=1 status=success |<Dot11Elt ID=220 len=46 info='7\x94' |>>>>
我想更好地理解读取的部分:
\x08\x00\x00\x00\x00\x00\x00\xd5~\xbb*\x00\x00\x00\x00\x10\x02\x99\t\xa0\x00\xbd\x00\x00\x00\xbd\x00
我在许多不同的捕获中获得这些类型的数据包,我希望能够“解码”它们来读取数据。有没有办法做到这一点,也许是代码示例?
答案 0 :(得分:4)
我通过scapy解码802.11帧。
首先,无论是通过终端还是通过WireShark捕获802.11帧,并保存为pcap文件 然后,使用scapy来解析pcap文件:
sniff(offline="/tmp/capture_chan11.pcap", prn=parse)
“parse”这里是一个自定义函数,用于处理pcap文件中的每一帧,我的是:
def parse(frame):
if frame.haslayer(Dot11):
print("ToDS:", frame.FCfield & 0b1 != 0)
print("MF:", frame.FCfield & 0b10 != 0)
print("WEP:", frame.FCfield & 0b01000000 != 0)
print("src MAC:", frame.addr2)
print("dest MAC:", frame.addr1)
print("BSSID:", frame.addr3)
print("Duration ID:", frame.ID)
print("Sequence Control:", frame.SC)
print(feature(frame))
print("\n")
详细了解Dot11帧属性:SCAPY PYTHON - Get 802.11 DS Status
答案 1 :(得分:0)
由于字段名称允许您猜测,它包含无法解码的数据。如果你真的想要解码它,你必须编写(也许贡献!)你自己的解剖器,或者使用Wireshark(或Tshark,相同的解剖器,命令行界面)为你解析数据包。
对于第二个选项,您可以使用Scapy for Wireshark中的wireshark(pkt)和Tshark中的tcpdump(pkt, prog="tshark")。
答案 2 :(得分:0)
更新:自scapy的最新开发版本以来,这些字段现在正在被正确解码。
看一下github版本: https://github.com/secdev/scapy