当前位置：首页 > article >正文

网路安全编程——使用Scapy简单实现数据包嗅探主流邮箱协议（SMTP、POP3和IMAP）

article 2026/5/6 21:45:04

今天我们将编写一个非常简单的嗅探器来捕捉主流邮箱协议SMTP、POP3和IMAP的身份凭证。之后用这个嗅探器配合基于ARP投毒的中间人MITM攻击我们就能窃取网络中其他设备的身份凭证。本文探讨基于Python Scapy的底层网络流量操作机制。文章剖析IP/TCP协议头部定制封装及控制标志位原理演示ARP投毒实现并详述针对POP3、FTP等明文协议的凭证嗅探与流量模拟验证过程。文章目录前置准备Scapy 的主要用途BPF(Wireshark语法)捕捉主流邮箱协议测试脚本伪造流量演示代码解释参数作用解析总结前置准备Scapy 是 Python 中最强大、最灵活的网络数据包操作库。它的核心设计理念是让用户能够绕过操作系统的网络栈直接在底层自由组合不同网络协议层的模块像搭积木一样构造出任何形态的报文。Scapy 的主要用途流量分析与抓包类似 Wireshark 和 tcpdump可以使用sniff()函数实时捕获网络流量或读取/写入.pcap文件非常适合提取流量特征进行安全分析。网络扫描与发现发送自定义的探测包如 ICMP、TCP SYN来发现存活主机、探测开放端口、进行操作系统指纹识别。网络攻击与渗透测试构造畸形或伪造的数据包来执行各类攻击例如 ARP 投毒如上一章所示、DNS 欺骗、SYN 泛洪、VLAN 跳跃等。安全防御与测试作为防守方常用于回放特定的攻击流量PCAP replay以验证防火墙策略或入侵检测系统IDS的告警规则是否生效。默认情况下Scapy 会自动计算校验和Checksum并填补必要的默认字段我们只需要关注想修改的字段即可。组合公式数据链路层 / 网络层 / 传输层 / 应用层数据举例理解packet Ether() / IP(dst8.8.8.8) / TCP(dport80) / GET / HTTP/1.0\r\n\r\n(这行代码直接构造了一个发往 8.8.8.8 80端口的 HTTP GET 请求包含了以太网帧、IP头部、TCP头部和 HTTP 文本)这里我们给大家简单介绍一下Scapy语法以及用途# 最简单的数据包内容嗅探器sniff(filter,ifaceany,prnfunction,countN)1filter参数允许我们指定一个BPFBerkeley Packet Filter包过滤器用于过滤Scapy嗅探到的数据包也可以将此参数留空表示嗅探所有的数据包比如想嗅探所有的HTTP包可以指定BPF为tcp port 802iface参数用于指定嗅探对应的网卡可以使用命令ipconfig /all进行查看3prn参数用于指定一个回调函数每当遇到符合过滤条件的数据包时嗅探器就会将该数据包传给这个回调函数多说无益给大家看个例子fromscapy.allimportsniffdefpacket_filter(packet):print(packet.show())# 这里因为只接受一个包所以也不用做什么过滤defmain():sniff(prnpacket_filter,count1)if__name____main__:main()下面是抓取第一个包的信息###[ Ethernet ]###dst00:a1:3d:67:de:0a src78:af:08:7e:0c:e8typeIPv4###[ IP ]###version4ihl5tos0x0 len124id12820flagsfrag0ttl128protoudp chksum0x0 src192.168.1.169 dst124.88.192.90\options\###[ UDP ]###sport51530dport35513len104chksum0xff7d###[ Raw ]###loadb\x00\x01\x00L!\x12\xa4B752AqQVeahT9\x00\x06\x00\tM0Oz:I2p4\x00\x00\x00\xc0W\x00\x04\x00\x00\x03\xe7\x80)\x00\x08\xc7D\xe0\xd6\x94\x1f\x18\x00$\x00\x04n\x00\x1e\xff\x00\x08\x00\x14h\xf9MK\xed\xaa\x83\xc9\xafa\x11\x1f\xb2r\x12\xfe\x81\x98f\x83\x80(\x00\x04A\xf9\xdbFNone可以看到收到网络上的第一个数据包之后回调函数就会调用内置的packet.show函数展示数据包的内容还会解析一部分协议信息。这个show函数是调试程序的好帮手可以用它检查捕获到的数据包是不是你想要的。BPF(Wireshark语法)在接下来的例子中我们将设置一个包过滤器确保嗅探器只展示我们感兴趣的包。我们会使用BPF语法也被称为Wireshark风格的语法来编写过滤器。BPF语法组成描述词(源/目标IP) 数据流方向使用协议举例指定目标IP地址ip.dst 192.168.31.168指定源IP地址ip.src 192.168.31.61排查特定服务的通信tcp.port 80 || tcp.port 443特定的请求方法http.request.method “POST”识别出端口扫描如 SYN Scantcp.flags.syn 1 tcp.flags.ack 0如果大家还想了解如何使用wireshark在生活中的使用可以看看下列文章Webshell流量分析——玄机冰蝎Behinder2.0和3.0流量对比溯源详细解析应急响应挑战杯日志流量分析部分玄机——Wireshark流量分析案例篇手把手教学基础篇具体可以看该专栏等保应急响应靶场捕捉主流邮箱协议接下来我们将添加过滤器和回调函数代码有针对性地捕获和邮箱账号认证相关的数据比如明文数据的账号密码等测试脚本下面我们就对上述代码做一个简单拓展fromscapy.allimportsniff,Rawfromscapy.layers.inetimportIP,TCPdefpacket_callback(packet):# 确保数据包包含 TCP 层且带有应用层载荷 (Raw 层)ifpacket.haslayer(TCP)andpacket.haslayer(Raw):# 将载荷的字节流解码为字符串忽略无法解码的字符payloadbytes(packet[TCP].payload).decode(utf-8,errorsignore)ifuserinpayload.lower()orpassinpayload.lower():print(f[*] 发现目标 IP:{packet[IP].dst})print(f[*] 截获凭证:{payload.strip()}\n)defmain():print([*] 嗅探器已启动正在监听 110, 25, 143 端口...)# 建议测试时把 count5 暂时去掉让它持续监听# sniff(filtertcp port 110 or tcp port 25 or tcp port 143, prnpacket_callback, store0)# 把 filter 扩展或者为了本地测试方便直接去掉 filter 监听所有 tcp 端口sniff(filtertcp port 110 or tcp port 21 or tcp port 143 or tcp port 80 or tcp port 23,prnpacket_callback,store0)if__name____main__:main()我们修改了sniff函数这个过滤器只会监听常用邮件协议端口上接收到的流量也就是110POP3、143IMAP和25SMTP等端口还增加了一个新参数store把它设为0以后Scapy就不会将任何数据包保留在内存里。随后当回调函数packet_callback被调用时我们会检查收到的数据包里有没有数据载荷有没有USER或PASS这两条邮件协议命令。如果发现了任何认证数据就把服务器地址和具体的认证数据打印出来伪造流量演示这里为了方便演示我们还可以编写一个发送流量的脚本fromscapy.allimportsniff,sendfromscapy.layers.inetimportIP,TCPimporttimedefsend_fake_traffic():target127.0.0.1print(f[*] 正在发送各种伪造协议流量...\n)# # 1. POP3 (端口 110)print(f[*] 正在发送POP3伪造流量....)send(IP(dsttarget/TCP(sport10000,dport110,flagsPA)/username:tim\r\n,verboseFalse))send(IP(srctarget)/TCP(sport10000,dport110,flagsPA)/Password:123456\r\n,verboseFalse)# 2. FTP (端口 21)print([*] 发送 FTP 流量...)send(IP(dsttarget)/TCP(sport10002,dport21,flagsPA)/USER leco_ftp\r\n,verboseFalse)send(IP(dsttarget)/TCP(sport10002,dport21,flagsPA)/PASS ftp_secret_456\r\n,verboseFalse)time.sleep(0.5)# 3. IMAP (端口 143) - 通常是在一行内同时发送账号和密码print([*] 发送 IMAP 流量...)send(IP(dsttarget)/TCP(sport10003,dport143,flagsPA)/A001 LOGIN leco_user imap_secret_789\r\n,verboseFalse)time.sleep(0.5)# 4. HTTP POST 表单 (端口 80) - 模拟网页端未加密的登录提交print(f[*] 发送HTTP POST表单...)http_payload(POST /login.php HTTP 1.1/\r\nHost: test.local\r\nContent-Type: application/x-www-form-urlencoded\r\n\r\nusernamelecopassjfdaf^!jdid_type0\r\n)print(f[*] 所有流量均已发送完毕..)if__name____main__:send_fake_traffic()代码解释这段代码的核心在于使用 Python 库 Scapy 构造并发送了一个网络数据包。我们将分析其核心语句pkt_user IP(dsttarget_ip) / TCP(sport12345, dport110, flagsPA) / USER leco_admin\r\n在网络传输中数据是被逐层封装的。Scapy 的语法完美对应了这一模型------------------------------------------------------------- | 以太网帧 (Ethernet Frame) | | (如果未明确指定Scapy 会在调用 send() 时自动填充此层) | |-------------------------------------------------------------| | IP 报文头 (IP Header) | - IP(dsttarget_ip) | - 源IP (自动获取) | | - 目标IP (127.0.0.1) | |-------------------------------------------------------------| | TCP 报文头 (TCP Header) | - TCP(sport12345, dport110, flagsPA) | - 源端口 (12345: 客户端随机端口) | | - 目标端口 (110: POP3 协议默认端口) | | - 控制标志 (Flags: PSH ACK) | |-------------------------------------------------------------| | 应用层数据 (Payload/Data) | - USER leco_admin\r\n | - 协议: POP3 | | - 内容: 提交用户名指令 | -------------------------------------------------------------参数作用解析IP(dsttarget_ip)工作在网络层OSI 模型第三层。负责将数据包路由到目标主机。dst(Destination)目标 IP 地址。TCP(sport12345, dport110, flagsPA)工作在传输层OSI 模型第四层。负责端到端的可靠通信。sport(Source Port)源端口标识发送方的应用程序。dport(Destination Port)目的端口标识接收方的服务程序110 为 POP3 服务。flagsTCP 标志位用于控制连接状态。USER leco_admin\r\n工作在应用层OSI 模型第七层。这是实际传输的有效载荷Payload。符合 POP3 协议规范的命令格式要求以\r\n(CRLF) 结尾。/操作符Scapy 重载的层叠操作符负责将上述各层结构组合成一个完整的数据包。flags是 TCP 包里的控制位:S SYN 建立连接A ACK 确认收到P PSH 推送数据马上把数据交给应用层F FIN 关闭连接R RST 强制断开随后我们首先运行嗅探脚本随后执行伪造流量脚本最后我们可以i得到结果注意如果是本地进行实验的话需要做如下改动才能抓到我们发送到伪造流量在一台 Windows 机器上往这台机器自己的物理 IP 地址发包时Windows 的网络协议栈会内部处理掉并不会得到结果所以要在单台 Windows 机器上完成测试最简单的方法就是不要把目标 IP 设为自己把它设为你的路由器网关IP只要把包发给网关这个数据包就必须离开本地电脑通过物理网卡流向网线/WiFi总结本章我们简单了解了如何利用Scapy模块对特定协议进行过滤下一篇文章我们将进行APR中间人攻击来修改受害机器的网关MAC地址

网路安全编程——使用Scapy简单实现数据包嗅探主流邮箱协议（SMTP、POP3和IMAP）

相关文章：

网路安全编程——使用Scapy简单实现数据包嗅探主流邮箱协议（SMTP、POP3和IMAP）

MySQL如何防止内部员工越权查看数据_实施严格的日志审计策略

28_《智能体微服务架构企业级实战教程》Redis FastMCP服务之操作工具封装

FFXIVChnTextPatch：国际服客户端中文资源注入技术解析

26山大软院创新实训--MarketClaw（四）

通俗数学7-质子三夸克的算法

MCP 2026医疗数据防护落地指南：5步完成等保2.0+GB/T 39725双标适配，附卫健委备案自查清单

深度探索DIY Layout Creator：开源电路设计工具的设计哲学与创作实践

3D场景生成中的遮挡感知与布局优化技术

别再只会用OpenCV了！用Qt的QImage实现图片加载、缩放、滤镜（附完整代码）

总行vs分行vs软开vs金科子：银行科技4大去处怎么选？

从DFH3到DFH5：一文看懂中国通信卫星平台的‘家族谱系’与技术演进

GPU加速不是梦：实测ASTRA Toolbox处理实验数据，双轴重建速度提升实战记录

终极GPU显存稳定性测试指南：5分钟掌握memtest_vulkan专业检测工具

KSail：统一Kubernetes本地开发工具链的聚合器与标准化平台

2026年：MCP协议如何重塑AI Agent的生态格局

FramePack终极指南：3个关键技巧让AI视频创作像画画一样简单

如何构建个人数字记忆库：WeChatMsg聊天记录永久保存完全指南

别再傻傻分不清！5分钟搞懂ROM、PROM、EPROM、EEPROM在嵌入式开发中的选型指南

空间智能技术：3D场景理解与AI性能优化

别再让切片拖慢你的GeoServer！手把手教你配置D盘专属缓存目录（附路径修改避坑点）

c++如何将结构体中的std--string安全写入文件_深浅拷贝陷阱【避坑】

容器资源爆满却无告警？Docker 27.0+内置监控体系深度激活：启用experimental metrics API并对接Prometheus的7步密钥配置

Clojure本地LLM集成指南：llama.clj从入门到生产部署

英雄联盟LCU工具箱深度解析：揭秘League Akari的架构设计与实战应用

分子预测中的图神经网络与对比学习应用

从‘听不清’到‘听得清’：手把手教你用Python+Librosa分析语谱图，优化语音识别效果

【强烈推荐】AI大模型风口已至！程序员8大热门转型岗位+完整学习路径助你拿高薪！

传统觉得人脉越多赚钱速度越快，编程统计人脉数量，实际合作收益数据，精简优质人脉远胜杂乱泛泛社交。

基于OpenClaw与Alpaca API的自动化交易技能实践指南