python/scapy DNS-sniffer und-parser

Ich habe python/scapy sniffer für DNS. Ich bin in der Lage zu schnuppern DNS-Nachrichten und IP - /UDP-Quell-und Ziel-IP-Adresse und ports, aber ich habe Probleme analysieren DNS-Teil
Ich würde schätzen etwas Hilfe oder Lösung zu arbeiten.

#!/usr/bin/env python

from scapy.all import *
from datetime import datetime
import time
import datetime
import sys

############# MODIFY THIS PART IF NECESSARY ###############
interface = 'eth0'
filter_bpf = 'udp and port 53'

# ------ SELECT/FILTER MSGS
def select_DNS(pkt):
    pkt_time = pkt.sprintf('%sent.time%')
# ------ SELECT/FILTER DNS MSGS
    try:
        if DNSQR in pkt and pkt.dport == 53:
        # queries
           print '[**] Detected DNS QR Message at: ' + pkt_time
           # 
        elif DNSRR in pkt and pkt.sport == 53:
        # responses
           print '[**] Detected DNS RR Message at: ' + pkt_time
 # 
    except:
        pass
# ------ START SNIFFER 
sniff(iface=interface, filter=filter_bpf, store=0,  prn=select_DNS)

InformationsquelleAutor user1627588 | 2014-07-16

  1. 2
    >>> ls(DNS)
id         : ShortField           = (0)
qr         : BitField             = (0)
opcode     : BitEnumField         = (0)
aa         : BitField             = (0)
tc         : BitField             = (0)
rd         : BitField             = (0)
ra         : BitField             = (0)
z          : BitField             = (0)
rcode      : BitEnumField         = (0)
qdcount    : DNSRRCountField      = (None)
ancount    : DNSRRCountField      = (None)
nscount    : DNSRRCountField      = (None)
arcount    : DNSRRCountField      = (None)
qd         : DNSQRField           = (None)
an         : DNSRRField           = (None)
ns         : DNSRRField           = (None)
ar         : DNSRRField           = (None)
>>> ls(DNSQR)
qname      : DNSStrField          = ('.')
qtype      : ShortEnumField       = (1)
qclass     : ShortEnumField       = (1)
>>> ls(DNSRR)
rrname     : DNSStrField          = ('.')
type       : ShortEnumField       = (1)
rclass     : ShortEnumField       = (1)
ttl        : IntField             = (0)
rdlen      : RDLenField           = (None)
rdata      : RDataField           = ('')
>>>

    Wenn die oben genannten layer-Definitionen und-Felder nicht ausreichen, können Sie entweder definieren Sie Ihre eigenen Ebene, und decodiert das Paket mit Ihrer benutzerdefinierten layer, oder einfach empfangen die Daten direkt aus dem raw-Nutzlast. Als für den Zeitstempel, die Sie tun können, pkt.Zeit.

    thx, aber ich habe Probleme mit weiteren Antworten und zusätzliche Datensätze. Ich bin nicht in der Lage, Sie zu erhalten
    Ugh, durch die Bearbeitung Ihres ursprünglichen Frage, meine Antwort scheint nun fast völlig irrelevant. Bitte tun Sie das nicht in der Zukunft. Die Frage, die nicht in der Lage zum abrufen von Feldern, und nicht in der Lage, zum abrufen von Feldern unter bestimmten Fragen sind zwei völlig unterschiedliche Fragen.
    sorry Mann. Du hast vollkommen Recht. Ihre Antwort scheint nicht relevant nach der Bearbeitung. Ich glaube nicht, das Weise. Ich glaube nicht bei allen. Sollte ich das irgendwie wieder ändern?
    Wenn Sie können, ich denke, es wäre am besten ändern Sie die Frage zurück, was es war tatsächlich Fragen vor, und Sie können senden Sie einfach eine neue Frage mit Ihrer mehr bestimmten version. Hoffentlich ist deine neue Frage werden einige Antworten. Cheers.
    ich habe es getan und verändert die Frage zurück. sorry noch einmal

    InformationsquelleAutor wookie919

  2. 1

    Ich hier gelandet, während Googeln scapy parse DNS queries (in meinem Fall bin ich den Umgang mit einer aufgenommene pcap-Datei)

    dies ist meine Lösung:

    #!/usr/bin/env python

from scapy.all import *
from scapy.layers.dns import DNSRR, DNS, DNSQR

pcap = '/path/.../to/.../pcap/.../.pcap'
pkts = rdpcap(pcap)

for p in pkts:
    if p.haslayer(DNS):   
        if p.qdcount > 0 and isinstance(p.qd, DNSQR):
            name = p.qd.qname
        elif p.ancount > 0 and isinstance(p.an, DNSRR):
            name = p.an.rdata
        else:
            continue

        print name

    InformationsquelleAutor Jossef Harush

Schreibe einen Kommentar