python网络监听工具开发首选scapy(90%场景够用),其次pyshark(依赖tshark,适合深度协议分析如tls/mqtt),仅内核级需求才用底层raw socket。
用Python开发网络监听工具,核心在于绕过应用层协议封装,直接访问原始网络数据包。关键不是写个HTTP客户端,而是让程序能“看到”网卡上流过的每一个字节——这需要操作系统支持原始套接字(raw socket)或借助成熟抓包库实现跨平台兼容。
用Scapy快速实现协议解析与过滤
Scapy是Python中最灵活的网络数据包处理库,无需root权限即可发送/接收/解析大多数协议包,适合教学、调试和轻量监听场景。
- 安装:pip install scapy
- 捕获ICMP请求示例:
from scapy.all import sniff
sniff(filter="icmp", prn=lambda x: print(x[IP].src, "→", x[IP].dst)) - filter参数支持BPF语法,如"tcp port 80"、"host 192.168.1.100",比纯Python解析高效得多
- 可直接提取字段:x[TCP].dport、x[Raw].load(若存在载荷),避免手动解析IP头偏移
用PyShark调用tshark做深度协议分析
PyShark不自己解析包,而是调用系统已安装的Wireshark后端(tshark),优势是支持数百种协议解码(如HTTP/2、TLS握手、DNSSEC),适合需要字段级语义分析的监听任务。
- 安装:pip install pyshark,并确保系统已装Wireshark或tshark
- 实时监听+过滤示例:
import pyshark
cap = pyshark.LiveCapture(interface='eth0', display_filter='http.request.method == "GET"')
for packet in cap.sniff_continuously():
if 'http' in packet:
print(packet.http.host, packet.http.request_uri) - 支持导出为JSON、读取pcap文件、设置超时与包数限制,适合集成进日志分析流程
底层控制:用socket.SOCK_RAW手工收包(仅Linux/macOS)
若需极致控制(如自定义IP校验和、混杂模式开关、零拷贝优化),可绕过高级库,直接使用原始套接字。但注意:Windows默认禁用SOCK_RAW,且需root权限;普通用户应优先选Scapy或PyShark。
立即学习“Python免费学习笔记(深入)”;
- 基本流程:socket(AF_PACKET, SOCK_RAW, htons(ETH_P_ALL))(Linux)或socket(AF_INET, SOCK_RAW, IPPROTO_IP)(跨平台但功能受限)
- 需自行剥离以太网帧头、IP头、TCP头——从packet[14:20]取IP源地址,packet[20]读IP首部长度再算TCP起始位置
- 开启混杂模式需ioctl调用(Linux用SIOCGIFFLAGS + SIOCSIFFLAGS),代码冗长且易出错,仅建议用于学习协议栈原理
基本上就这些。真正实用的监听工具,90%场景靠Scapy够用;要查TLS扩展字段或MQTT topic,上PyShark更稳;只有做内核旁路或性能压测时,才值得碰原始socket。别一上来就啃RFC,先让包跑起来再说。
