# Scapy 실습

In [None]:
from scapy.all import *

In [None]:
# Scapy에서 제공하는 기능들
lsc()

## 패킷 구조

> `ls(obj, case_sensitive, verbose)`

    - obj: 패킷 혹은 패킷 이름 
    - case_sensitive (bool): obj가 스트링일 경우 대소문자 구분 여부
    - verbose (bool): 추가적인 정보 로깅 여부

### IPv4 패킷 구조

<img src="https://www.dropbox.com/s/7dn0tzw9nzt2dcw/ip.png?raw=1" width="466" height="216"/>

In [None]:
ls(IP(), verbose=True)

### TCP 패킷 구조

<img src="https://www.dropbox.com/s/wuo7g9vjzydto8s/tcp.png?raw=1" width="521" height="225"/>

In [None]:
ls(TCP(), verbose=True)

- `/` 연산자로 패킷을 쌓을 수 있음
    - Data Link Layer / Network Layer / Transport Layer


In [None]:
packet = Ether() / IP() / TCP()
print(packet.summary())
print(packet[IP].summary())

- 각 필드에 원하는 값 저장 가능
- 각 필드에 접근도 가능

In [None]:
p = Ether() / IP(dst="www.google.com") / TCP(flags='F')
p.summary()

### 패킷 캡처

> `sniff(iface, prn, filter, count, timeout) -> PacketList`

    - iface: 스니핑할 네트워크 인터페이스 (ifconfig로 확인)
    - prn: 각각의 캡처된 패킷의 콜백 함수. 콜백 함수는 캡처한 패킷을 인자로 받아야 함.
    - filter: BPF (Berkeley Packet Filter) 표현식
    - count: 캡처할 패킷 수
    - timeout: 캡처할 기간 (초) 

In [None]:
s = sniff(iface="en0", filter="tcp", count=10)
s

In [None]:
for packet in s:
    print(packet.summary())

In [None]:
s[0]

In [None]:
s[0].show()

In [None]:
hexdump(s[0])

### 인터페이스 리스트 출력

In [None]:
import socket

iface_list = socket.if_nameindex()
iface_list

### 패킷 파일 저장하기

> `wrpcap(filename, pkt)`

    - filename: 저장할 pcap, pcapng 파일 이름
    - pkt: Packet 혹은 PacketList
    - append (bool): pcap 파일에 이어서 작성하고 싶으면 True 

In [None]:
wrpcap(filename="10.pcap", pkt=s)

<img src="https://www.dropbox.com/s/bhzrdq7k6w71yvd/ex2-1.png?raw=1" width="493" height="257"/>

In [None]:
# 콜백함수 예시
def process_packet(packet):
    wrpcap(pcap_file, packet, append=True)

### 패킷 파일 불러오기

> `rdpcap(filename) -> PacketList`

    - filename: 불러올 pcap, pcapng 파일 이름 

In [None]:
pcap = rdpcap("ex1_jokyo.pcap")

### 패킷 정보 확인

In [None]:
print(f"Total number of packets: {len(pcap)}")
print(f"Bytes of packet: {len(pcap[0])}")
print(f"Packet arrival time in Unix time: {pcap[0].time}")
print(f"Packet uses UDP: {pcap[0].haslayer(UDP)}")
print(f"Src/Dst port of the packet: {pcap[0][UDP].sport}/{pcap[0][UDP].dport}")

<img src="https://www.dropbox.com/s/b25w53uvusz063u/ex2-2.png?raw=1" width="487" height="265"/>

In [None]:
# load_contrib("gtp")
gtp = rdpcap("ex3_gtp.pcap")

In [None]:
a = gtp[0]
a.summary()

In [None]:
ls(GTP_U_Header())

In [None]:
ls(a[GTP_U_Header][IP])

<img src="https://www.dropbox.com/s/00f8pqjjanl9al7/ex3.png?raw=1" width="510" height="281"/>