python - 用Scapy python识别telnet协议(protocol)-6ren

python - 用Scapy python识别telnet协议(protocol)

转载作者：行者123 更新时间：2023-12-04 11:29:55

我正在用 Scapy 读取 Pcap 文件。如何识别在这个 pcap 文件中是否有使用 Telnet 协议(protocol)的数据包？
我看到只有当这些端口中的一个是 23 时，Scapy 才能将“telnet”写入 dport/sport，但是如果我使用另一个端口进行 Telnet，我如何通过 Scapy 识别这一点？

最佳答案

@TimRoberts 在评论中表示“Telnet 与其他 TCP 协议(protocol)没有区别。”这在某种程度上是正确的，因为所有 TCP 数据包都使用相同的结构，这在多个 Internet 工程任务组 (IETF) 征求意见 (RFC) 文档中进行了概述:

RFC 791 - Internet Protocol (IP)

RFC 793 - Transmission Control Protocol (TCP)

这是 TCP 数据包的结构。

常见的应用协议(protocol)如超文本传输协议(protocol)(HTTP)、文件传输协议(protocol)(FTP)和 Telnet 都使用这种结构。
关于应用协议(protocol) Telnet。正如您已经知道的，telnet 协议(protocol)的官方端口分配是端口 23。大多数供应商都遵守此端口标准，这就是为什么“只有当这些端口中有 1 个是 23 时，Scapy 才能将 'telnet' 写入 dport/sport”。
这是使用端口 23 的 Telnet session 的 TCP 层:

Layer TCP:
    Source Port: 1254
    Destination Port: 23
    Stream index: 0
    TCP Segment Len: 0
    Sequence number: 0    (relative sequence number)
    Sequence number (raw): 72603759
    Next sequence number: 1    (relative sequence number)
    Acknowledgment number: 0
    Acknowledgment number (raw): 0
    1010 .... = Header Length: 40 bytes (10)
    Flags: 0x002 (SYN)
    000. .... .... = Reserved: Not set
    ...0 .... .... = Nonce: Not set
    .... 0... .... = Congestion Window Reduced (CWR): Not set
    .... .0.. .... = ECN-Echo: Not set
    .... ..0. .... = Urgent: Not set
    .... ...0 .... = Acknowledgment: Not set
    .... .... 0... = Push: Not set
    .... .... .0.. = Reset: Not set
    .... .... ..1. = Syn: Set
    Expert Info (Chat/Sequence): Connection establish request (SYN): server port 23
    Connection establish request (SYN): server port 23
    Severity level: Chat
    Group: Sequence
    .... .... ...0 = Fin: Not set
    TCP Flags: \xc2\xb7\xc2\xb7\xc2\xb7\xc2\xb7\xc2\xb7\xc2\xb7\xc2\xb7\xc2\xb7\xc2\xb7\xc2\xb7S\xc2\xb7
    Window size value: 32120
    Calculated window size: 32120
    Checksum: 0x5d40 [unverified]
    Checksum Status: Unverified
    Urgent pointer: 0
    Options: (20 bytes), Maximum segment size, SACK permitted, Timestamps, No-Operation (NOP), Window scale
    TCP Option - Maximum segment size: 1460 bytes
    Kind: Maximum Segment Size (2)
    Length: 4
    MSS Value: 1460
    TCP Option - SACK permitted
    TCP Option - Timestamps: TSval 1444389, TSecr 0
    Timestamp value: 1444389
    Timestamp echo reply: 0
    TCP Option - No-Operation (NOP)
    TCP Option - Window scale: 0 (multiply by 1)
    Shift count: 0
    Multiplier: 1
    Timestamps
    Time since first frame in this TCP stream: 0.000000000 seconds
    Time since previous frame in this TCP stream: 0.000000000 seconds
    Kind: SACK Permitted (4)
    Kind: Time Stamp Option (8)
    Kind: No-Operation (1)
    Kind: Window Scale (3)
    Length: 2
    Length: 10
    Length: 3

这是使用端口 3005 的 Telnet session 的 TCP 层:

Layer TCP:
    Source Port: 52187
    Destination Port: 3005
    Stream index: 0
    TCP Segment Len: 0
    Sequence number: 0    (relative sequence number)
    Sequence number (raw): 1355255000
    Next sequence number: 1    (relative sequence number)
    Acknowledgment number: 0
    Acknowledgment number (raw): 0
    1011 .... = Header Length: 44 bytes (11)
    Flags: 0x002 (SYN)
    000. .... .... = Reserved: Not set
    ...0 .... .... = Nonce: Not set
    .... 0... .... = Congestion Window Reduced (CWR): Not set
    .... .0.. .... = ECN-Echo: Not set
    .... ..0. .... = Urgent: Not set
    .... ...0 .... = Acknowledgment: Not set
    .... .... 0... = Push: Not set
    .... .... .0.. = Reset: Not set
    .... .... ..1. = Syn: Set
    Expert Info (Chat/Sequence): Connection establish request (SYN): server port 3005
    Connection establish request (SYN): server port 3005
    Severity level: Chat
    Group: Sequence
    .... .... ...0 = Fin: Not set
    TCP Flags: \xc2\xb7\xc2\xb7\xc2\xb7\xc2\xb7\xc2\xb7\xc2\xb7\xc2\xb7\xc2\xb7\xc2\xb7\xc2\xb7S\xc2\xb7
    Window size value: 65535
    Calculated window size: 65535
    Checksum: 0x0afb [unverified]
    Checksum Status: Unverified
    Urgent pointer: 0
    Options: (24 bytes), Maximum segment size, No-Operation (NOP), Window scale, No-Operation (NOP), No-Operation (NOP), Timestamps, SACK permitted, End of Option List (EOL)
    TCP Option - Maximum segment size: 1460 bytes
    Kind: Maximum Segment Size (2)
    Length: 4
    MSS Value: 1460
    TCP Option - No-Operation (NOP)
    TCP Option - Window scale: 6 (multiply by 64)
    Shift count: 6
    Multiplier: 64
    TCP Option - Timestamps: TSval 3609205717, TSecr 0
    Timestamp value: 3609205717
    Timestamp echo reply: 0
    TCP Option - SACK permitted
    TCP Option - End of Option List (EOL)
    Timestamps
    Time since first frame in this TCP stream: 0.000000000 seconds
    Time since previous frame in this TCP stream: 0.000000000 seconds
    Kind: No-Operation (1)
    Kind: Window Scale (3)
    Kind: No-Operation (1)
    Kind: No-Operation (1)
    Kind: Time Stamp Option (8)
    Kind: SACK Permitted (4)
    Kind: End of Option List (0)
    Length: 3
    Length: 10
    Length: 2
    TCP Option - No-Operation (NOP)
    TCP Option - No-Operation (NOP)

这是使用端口 21 的 FTP session 的 TCP 层:

Layer TCP:
    Source Port: 35974
    Destination Port: 21
    Stream index: 0
    TCP Segment Len: 0
    Sequence number: 0    (relative sequence number)
    Sequence number (raw): 29473206
    Next sequence number: 1    (relative sequence number)
    Acknowledgment number: 0
    Acknowledgment number (raw): 0
    1010 .... = Header Length: 40 bytes (10)
    Flags: 0x002 (SYN)
    000. .... .... = Reserved: Not set
    ...0 .... .... = Nonce: Not set
    .... 0... .... = Congestion Window Reduced (CWR): Not set
    .... .0.. .... = ECN-Echo: Not set
    .... ..0. .... = Urgent: Not set
    .... ...0 .... = Acknowledgment: Not set
    .... .... 0... = Push: Not set
    .... .... .0.. = Reset: Not set
    .... .... ..1. = Syn: Set
    Expert Info (Chat/Sequence): Connection establish request (SYN): server port 21
    Connection establish request (SYN): server port 21
    Severity level: Chat
    Group: Sequence
    .... .... ...0 = Fin: Not set
    TCP Flags: \xc2\xb7\xc2\xb7\xc2\xb7\xc2\xb7\xc2\xb7\xc2\xb7\xc2\xb7\xc2\xb7\xc2\xb7\xc2\xb7S\xc2\xb7
    Window size value: 32648
    Calculated window size: 32648
    Checksum: 0x8fda [unverified]
    Checksum Status: Unverified
    Urgent pointer: 0
    Options: (20 bytes), Maximum segment size, No-Operation (NOP), Window scale, No-Operation (NOP), No-Operation (NOP), Timestamps
    TCP Option - Maximum segment size: 1380 bytes
    Kind: Maximum Segment Size (2)
    Length: 4
    MSS Value: 1380
    TCP Option - No-Operation (NOP)
    TCP Option - Window scale: 0 (multiply by 1)
    Shift count: 0
    Multiplier: 1
    TCP Option - Timestamps: TSval 1657560000, TSecr 0
    Timestamp value: 1657560000
    Timestamp echo reply: 0
    Timestamps
    Time since first frame in this TCP stream: 0.000000000 seconds
    Time since previous frame in this TCP stream: 0.000000000 seconds
    Kind: No-Operation (1)
    Kind: Window Scale (3)
    Kind: No-Operation (1)
    Kind: No-Operation (1)
    Kind: Time Stamp Option (8)
    Length: 3
    Length: 10
    TCP Option - No-Operation (NOP)
    TCP Option - No-Operation (NOP)

这是使用端口 22 的 SSH session 的 TCP 层:

Layer TCP:
    Source Port: 57732
    Destination Port: 22
    Stream index: 0
    TCP Segment Len: 0
    Sequence number: 0    (relative sequence number)
    Sequence number (raw): 71043058
    Next sequence number: 1    (relative sequence number)
    Acknowledgment number: 0
    Acknowledgment number (raw): 0
    1011 .... = Header Length: 44 bytes (11)
    Flags: 0x002 (SYN)
    000. .... .... = Reserved: Not set
    ...0 .... .... = Nonce: Not set
    .... 0... .... = Congestion Window Reduced (CWR): Not set
    .... .0.. .... = ECN-Echo: Not set
    .... ..0. .... = Urgent: Not set
    .... ...0 .... = Acknowledgment: Not set
    .... .... 0... = Push: Not set
    .... .... .0.. = Reset: Not set
    .... .... ..1. = Syn: Set
    Expert Info (Chat/Sequence): Connection establish request (SYN): server port 22
    Connection establish request (SYN): server port 22
    Severity level: Chat
    Group: Sequence
    .... .... ...0 = Fin: Not set
    TCP Flags: \xc2\xb7\xc2\xb7\xc2\xb7\xc2\xb7\xc2\xb7\xc2\xb7\xc2\xb7\xc2\xb7\xc2\xb7\xc2\xb7S\xc2\xb7
    Window size value: 65535
    Calculated window size: 65535
    Checksum: 0xd079 [unverified]
    Checksum Status: Unverified
    Urgent pointer: 0
    Options: (24 bytes), Maximum segment size, No-Operation (NOP), Window scale, No-Operation (NOP), No-Operation (NOP), Timestamps, SACK permitted, End of Option List (EOL)
    TCP Option - Maximum segment size: 1460 bytes
    Kind: Maximum Segment Size (2)
    Length: 4
    MSS Value: 1460
    TCP Option - No-Operation (NOP)
    TCP Option - Window scale: 6 (multiply by 64)
    Shift count: 6
    Multiplier: 64
    TCP Option - Timestamps: TSval 1452973307, TSecr 0
    Timestamp value: 1452973307
    Timestamp echo reply: 0
    TCP Option - SACK permitted
    TCP Option - End of Option List (EOL)
    Timestamps
    Time since first frame in this TCP stream: 0.000000000 seconds
    Time since previous frame in this TCP stream: 0.000000000 seconds
    Kind: No-Operation (1)
    Kind: Window Scale (3)
    Kind: No-Operation (1)
    Kind: No-Operation (1)
    Kind: Time Stamp Option (8)
    Kind: SACK Permitted (4)
    Kind: End of Option List (0)
    Length: 3
    Length: 10
    Length: 2
    TCP Option - No-Operation (NOP)
    TCP Option - No-Operation (NOP)

如前所述，这些 TCP 层几乎无法区分。因此，尝试单独使用 TCP 层将很难确定端口 23 以外的端口上的 Telnet session 。因此，尝试使用 Scapy 来识别这些 session 而不进行更深入的数据包分析将非常困难。
您可以潜在地分析 TCP 数据包的数据层以确定连接是否为 Telnet session 。除非您进行了某种程度的流量分析，否则这又需要付出大量的努力。
使用 Python 模块 pyshark，您可以从数据层中提取内容。
通过端口 23 的 Telnet session :

import pyshark

# the pcap is a Telnet session over port 23
capture = pyshark.FileCapture('telnet-raw.pcap')
for packet in capture:
    if hasattr(packet, 'tcp'):
        layers = packet.layers
        #      0            1           2             3
        # [<ETH Layer>, <IP Layer>, <TCP Layer>, <DATA Layer>]
        if len(layers) > 3:
            payload = packet.tcp.payload

有效载荷输出为十六进制

truncated...
ff:fb:01:ff:fa:21:02:ff:f0:ff:fc:01

ff:fd:01:ff:fe:01

ff:fa:22:03:05:80:00:11:80:00:12:80:00:ff:f0

0d:0a:4f:70:65:6e:42:53:44:2f:69:33:38:36:20:28:6f:6f:66:29:20:28:74:74:79:70:31:29:0d:0a:0d:0a

6c:6f:67:69:6e:3a:20

ff:fc:22:ff:fd:01
truncated...

输出中的第 4 个和第 5 个十六进制字符串是解密可能发生的 TCP 连接类型的重要部分。

import binascii

hex_data = '0d:0a:4f:70:65:6e:42:53:44:2f:69:33:38:36:20:28:6f:6f:66:29:20:28:74:74:79:70:31:29:0d:0a:0d:0a6c:6f:67:69:6e:3a:20 '
hex_string = ' '.join(hex_data.split('0d:0a')).replace(':', '')
hex_list = hex_string.split()
for item in hex_list:
    decoded_string = binascii.unhexlify(item)
    print(decoded_string)
    # output 
    b'OpenBSD/i386 (oof) (ttyp1)'
    b'login: '

解码十六进制后，我们可以看到身份验证是通过端口 23 进行的。
通过端口 3005 的 Telnet session :

import pyshark

# the pcap is a Telnet session over port 3005
capture = pyshark.FileCapture('telnet-pcap-1.pcapng')
for packet in capture:
    if hasattr(packet, 'tcp'):
        layers = packet.layers
        #      0            1           2             3
        # [<ETH Layer>, <IP Layer>, <TCP Layer>, <DATA Layer>]
        if len(layers) > 3:
            payload = packet.tcp.payload

有效载荷输出为十六进制

ff:fb:01:ff:fb:03:ff:fd:18:ff:fd:1f

ff:fd:01:ff:fd:03:ff:fb:18:ff:fb:1f:ff:fa:1f:00:97:00:2f:ff:f0

0d:0a:55:73:65:72:20:41:63:63:65:73:73:20:56:65:72:69:66:69:63:61:74:69:6f:6e:0d:0a:0d:0a:55:73:65:72:6e:61:6d:65:3a:20

ff:fa:18:01:ff:f0

ff:fa:18:00:58:54:45:52:4d:2d:32:35:36:43:4f:4c:4f:52:ff:f0
truncated...

输出中的第三个十六进制字符串是解密可能发生的 TCP 连接类型的重要部分。

import binascii

hex_data = '0d:0a:55:73:65:72:20:41:63:63:65:73:73:20:56:65:72:69:66:69:63:61:74:69:6f:6e:0d:0a:0d:0a:55:73:65:72:6e:61:6d:65:3a:20'

# removing line breaks from the hex string
hex_string = ' '.join(hex_data.split('0d:0a')).replace(':', '')
hex_list = hex_string.split()
for item in hex_list:
    decoded_string = binascii.unhexlify(item)
    print(decoded_string)
    # output 
    b'User Access Verification'
    b'Username: '

解码十六进制后，我们可以看到某种类型的身份验证正在端口 3005 上进行。需要额外的分析来确定此 session 是 Telnet session 还是某个其他 session 。

关于python - 用Scapy python识别telnet协议(protocol)，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/67404757/

文章推荐： git-lfs - Git 克隆 git-lfs 过滤器进程 : git-lfs: command not found

文章推荐： android - AGP 7.0.0-alpha15 后如何更改版本代码

文章推荐： tensorflow - 将 tensorflow 数据集记录分成多条记录

telnet - 期望脚本可以自动 telnet 登录
我一直在尝试创建一个 expect 脚本来通过 telnet 自动登录到我的设备如果expect 命令没有多种可能性，则脚本可以正常工作，登录设备。 #!/usr/bin/expect set ti
telnet - 如何查看我在 telnet 中输入的内容？
关闭。这个问题是off-topic .它目前不接受答案。想改善这个问题吗？ Update the question所以它是 on-topic对于堆栈溢出。 9年前关闭。 Improve this q
telnet - HTTP 服务器如何接受 Telnet
据我了解，Telnet 与 HTTP 一样都是一种协议(protocol)。我有这样的想法，在建立初始 TCP 连接后，Telnet 客户端会将一些 telnet 特定代码发送到另一端的服务器(在本例
telnet - 处理 Telnet 协商
我正在尝试使用 C++ 和 QT 作为 GUI 来实现 Telnet 客户端。我不知道如何处理 telnet 协商。每个 telnet 命令都以 IAC 开头，例如 IAC WILL SUPPRESS
telnet - 如何自动化 telnet 端口 25 测试？
我需要在 telnet 中进行大量测试。我正在研究一些方法来自动检测我们电子邮件服务器上的字典攻击，然后限制它们，或将它们列入黑名单等。我现在准备运行一些测试，看看我的工作是否有返回。我想我只需下载
telnet - 通过 telnet 使用 json-rpc？
看来您应该能够使用 telnet 手动进行 json-rpc 调用。但是，当我尝试这样做时，服务器根本没有任何响应，我不得不关闭 telnet 客户端。我是否需要发送 header 和/或以某种方式表
telnet - 通过 telnet 使用 json-rpc？
看来您应该能够使用 telnet 手动进行 json-rpc 调用。但是，当我尝试这样做时，服务器根本没有任何响应，我不得不关闭 telnet 客户端。我是否需要发送 header 和/或以某种方式表
c - 如何处理与 Telnet 服务器的 Telnet session
我正在使用来自 busy-box 的 Telnet 客户端。我需要与 telnet 服务器创建一个 session ，但需要根据特定条件从 C 代码创建 session ，一旦创建 session ，
emacs - 如何在 emacs telnet 模式下发出 telnet 命令？
我需要发出 telnet close 命令，通常，^] (Ctrl-]) 应该可以工作。(找不到任何 emacs 特定的 telnet 文档) 我怎样才能得到 telnet>当我在 emacs 中使用
terminal - Telnet:连接时使用 Telnet-Strange 结果的 WiFi
几天前我买了一个新的 MTS Wi-Fi Dongle，今天在使用它时，我使用我的 Android 设备在 192.168.1.1 上进行了端口扫描，令人惊讶的是端口 23(telnet)是开放的。输
python - 有什么方法可以远程发出 telnet 命令和双 telnet session 吗？
很难说出这里问的是什么。这个问题是含糊的、模糊的、不完整的、过于宽泛的或修辞性的，无法以目前的形式得到合理的回答。如需帮助澄清此问题以便重新打开它，visit the help center 。已关
php - 使 PHP 响应 telnet (PHP Telnet Server)
我有一个项目要做，它是这样的: 当您打开一个 telnet 控制台并 telnet 到我的服务器时，PHP 应该响应:“你好，你叫什么名字？” 然后你输入你的名字等等。我怎样才能在 PHP 中做到这一
python - 来自 python 中的 telnet session 的 Telnet
是否可以通过 telnet 连接到服务器并从那里 telnet 到 python 中的另一台服务器？由于有一个 Controller ，我使用用户名和密码远程登录，并且从 Controller 命令行
c - 用 C 编写 Telnet 服务器和 Telnet 客户端
我选择了一个用 C 编写 Telnet 服务器和 Telnet 客户端代码的项目。我正在学习 C 编程。有没有人尝试过这个。请告诉我如何进行以及要引用的 Material 。抱歉询问源代码。我不知道
linux - 目标重新启动时用于 telnet 和 re-telnet 的 Perl 脚本
我需要编写一个在 Windows 上运行的 Perl 脚本，以通过远程登录到 Linux 机器来不断监视 Linux 机器下的日志文件以寻找模式。但问题是，Linux 机器非常频繁地重新启动(通过一些
python - Telnet 和 SSH 在主文件中调用，Telnet 有效但 ssh 失败
我是 python 新手，我正在编写一个脚本来在某些情况下“telenet”设备 IP，如果 telnet 失败则编写 SSH username@deviceIp.. 对于所有 Telnet IP，它
java - 使用 org.apache.commons.net.telnet 发送 telnet 命令
我正在使用 org.apache.commons.net.telnet 库与我的 Telnet 服务器建立连接，该服务器的实现与标准 RFC 854 略有不同，但没什么太可怕的。实际上，我建立到此远
java - 使用 org.apache.commons.net.telnet 发送 telnet 命令
我正在使用 org.apache.commons.net.telnet 库与我的 Telnet 服务器建立连接，该服务器的实现与标准 RFC 854 略有不同，但没什么太可怕的。实际上，我建立到此远
node.js - 套接字超时!使用 Node telnet-client 的 Telnet 连接问题
我的要求是从 Node js连接到Telnet客户端。我正在使用 telnet-client包裹我正在使用此代码进行连接 var Telnet = require('telnet-client')
telnet - 等待expect脚本中的提示
我需要一个 expect 脚本来等待发出的命令完成，然后从 telnet 注销。这是脚本: spawn telnet host send "username\r" send "password\r"

行者123

个人简介

我是一名优秀的程序员,十分优秀！

作者热门文章

滴滴打车优惠券免费领取

全站热门文章

首页

博学

6Ren·AI

商城

python - 用Scapy python识别telnet协议(protocol)