Scapy 详细安装教程、功能介绍与快速上手

from scapy.all import *
pkt = rdpcap("icmp.pcap")[0]
print(pkt)

ICMP 报文由以太头、IP 头、ICMP 协议层、data 构成，上文以作说明，这里不再重复赘述。

// 打印如下 Ether / IP / ICMP 192.168.0.103 > 192.168.0.1 echo-request 0 / Raw

1.2、show()

当我们需要构建精准报文时，不清楚需要填写哪些字段和内容时，可以使用 show() 函数打印真实报文，再模仿构造。

from scapy.all import *
pkt = rdpcap("icmp.pcap")[0]
pkt.show()

// 打印如下 ###[ Ethernet ]### dst = 18:f2:2c:c8:90:11 src = d8:b3:2f:80:2d:11 type = IPv4 ###[ IP ]### version = 4 ihl = 5 tos = 0x0 len = 60 id = 36773 flags = frag = 0 ttl = 128 proto = icmp chksum = 0x2963 src = 192.168.0.103 dst = 192.168.0.1 \
options \
###[ ICMP ]### type = echo-request code = 0 chksum = 0x4d48 id = 0x1 seq = 0x13 unused = b'' ###[ Raw ]### load = b'abcdefghijklmnopqrstuvwabcdefghi'

1.3、ls()

ls() 函数可查看 scapy 支持的所有协议、头部字段及默认值罗列等。

from scapy.all import *
from scapy.layers.inet import TCP, IP
ls() # 列出所有支持的协议
ls(IP) # 显示 IP 头部字段及默认值

1.4、lsc()

列出 Scapy 所有内置函数（如发包/嗅探/ARP 欺骗等）。

from scapy.all import *
lsc()

// 打印如下 IPID_count : Identify IP id values classes in a list of packets arp_mitm : ARP MitM: poison 2 target's ARP cache ...

1.5、help()

查看函数/类的详细使用说明（如参数含义、返回值）。

from scapy.all import *
help(sendp)

// 打印如下 Help on function sendp in module scapy.sendrecv: sendp(x, iface=None, iface_hint=None, socket=None, **kargs) Send packets at layer 2 ...

三、Scapy 功能介绍

scapy 官方文档介绍：https://scapy.readthedocs.io/en/latest/

1、scapy 查看报文结构

当我们想要组一个 scapy 报文时，就先要了解该报文的结构，scapy 官方文档提供了部分的 API，可能不够全面，或者很难查询到我们想要的报文结构。此时，我们可以通过 wireshark 把想要的报文抓下来，再通过 scapy 去解析，然后重新组包发送，或者修改现有报文再重放。以下举一个 icmp request 组包举例：

from scapy.all import *
# 使用 show() 函数，把抓取的 icmp 报文结构读出来
icmp_req = rdpcap("icmp.pcap")[0]
icmp_req.show()

// 打印如下： ###[ Ethernet ]### dst = 18:f2:2c:c8:90:11 src = d8:b3:2f:80:2d:11 type = IPv4 ###[ IP ]### version = 4 ihl = 5 tos = 0x0 len = 60 id = 36773 flags = frag = 0 ttl = 128 proto = icmp chksum = 0x2963 src = 192.168.0.103 dst = 192.168.0.1 \
options \
###[ ICMP ]### type = echo-request code = 0 chksum = 0x4d48 id = 0x1 seq = 0x13 unused = b'' ###[ Raw ]### load = b'abcdefghijklmnopqrstuvwabcdefghi'

2、scapy 构包

根据 TCP/IP 标准模型，从上文可查看 icmp 总共有以太层、IP 层、ICMP 协议层、data；可按照以上格式进行组包：

# 步骤一：分别查看以太层、IP 层、ICMP 协议层、Raw 下参数名称和类型，以 Eher 为例
ls(Ether)
# 打印如下 dst : DestMACField =('None') src : SourceMACField =('None')type: XShortEnumField =('36864')

# 步骤二：组包。数据通信对报文正确性、完整性有严格的校验，包括 chksum 等，以下只做教学举例，列举了部分关键字段。
from scapy.all import *
from scapy.layers.inet import ICMP, IP
from scapy.layers.l2 import Ether
eth = Ether(dst="18:f2:2c:c8:90:11", src="d8:b3:2f:80:2d:11",type="IPv4")
ip = IP(proto="icmp", src="192.168.0.103", dst="192.168.0.1")
icmp = ICMP(type="echo-request")
data = Raw(load=b'abc')
icmp_req_pkt = eth / ip / icmp / data

# 步骤三：查看已经组好的报文
icmp_req_pkt.show()

// 打印如下 ###[ Ethernet ]### dst = 18:f2:2c:c8:90:11 src = d8:b3:2f:80:2d:11 type = IPv4 ###[ IP ]### version = 4 ihl = None tos = 0x0 len = None id = 1 flags = frag = 0 ttl = 64 proto = icmp chksum = None src = 192.168.0.103 dst = 192.168.0.1 \
options \
###[ ICMP ]### type = echo-request code = 0 chksum = None id = 0x0 seq = 0x0 unused = b'' ###[ Raw ]### load = b'abc'

3、scapy 发包

以下是 Scapy 中 send()、sendp()、sr()、sr1() 和 srp() 系列函数的区别总结。

3.1、发送函数（无响应接收）

• send()
  • 工作在网络层（L3），自动封装 IP 数据包
  • 示例：send(IP(dst="1.2.3.4")/ICMP()) 发送 ICMP 请求
  • 特点：不接收响应，适合快速发送单次数据包
• sendp()
  • 工作在链路层（L2），需手动指定接口和链路协议（如 Ethernet）
  • 示例：sendp(Ether()/IP(dst="1.2.3.4"), iface="eth0") 发送以太网帧
  • 特点：支持循环发送（loop 参数）和间隔控制（inter 参数）

3.2、交互式函数（发送并接收响应）

• sr()
  • 发送数据包并接收所有响应，返回应答包和未应答包列表（二元组）
  • 示例：sr(IP(dst="192.168.1.1")/TCP(dport=80)) 扫描端口
  • 特点：适用于需要统计响应的场景（如端口扫描）
• sr1()
  • 仅返回第一个响应包，忽略未应答包
  • 示例：sr1(IP(dst="192.168.1.1")/ICMP()) 探测主机存活
  • 特点：高效获取单个响应，减少数据量
• srp()
  • 专为链路层设计，发送并接收 L2 数据包（如 ARP）
  • 示例：srp(Ether()/ARP(), timeout=2) 发送 ARP 请求
  • 特点：适用于二层协议交互（如 ARP 欺骗）

send()、sendp()、sr()、sr1() 和 srp() 系列函数关键区别对比

注意：

• sendp() 和 srp() 需指定物理接口（iface 参数），而 send() 和 sr() 系列由 Scapy 自动选择路由。
• sr1() 和 sr() 的区别在于响应处理方式，前者仅返回首个有效响应。

3.3、sendpfast()

Scapy 中的 sendpfast() 是一个专为高速发送二层数据包设计的函数，其核心特点如下：

• 基于 tcpreplay 工具实现高性能发包，适合压力测试或流量生成场景
• 支持精确控制发送速率（通过 pps 或 mbps 参数）
• 可循环发送数据包（loop 参数支持设定循环次数）
• 需明确指定网卡接口（iface 参数)

sendpfast() 参数说明

sendpfast( pkt,# 要发送的数据包对象（需包含 L2 头）
           pps=None,# 每秒发包数（如 pps=1000）
           mbps=None,# 带宽限制（如 mbps=10）
           loop=0,# 循环次数（0 为单次，1 为无限循环）
           iface=None# 指定网卡（如 iface="eth0"）
          )

sendfast() 使用示例

from scapy.all import *
# 构造 ARP 请求包
pkt = Ether(dst="ff:ff:ff:ff:ff:ff"]/ARP(pdst="192.168.1.0/24")
# 以 1000pps 速率发送
sendpfast(pkt, pps=1000, iface="eth0")

3.4、Scapy 发包举例

3.4.1、scapy 发送报文

在上文中，我们已组装好了一个 icmp 报文，方便后续讲解 sniff() 函数，接下来我们将使用 scapy 的 sendp() 函数进行举例，接收并解析响应报文。

# sendp() 举例说明
from scapy.all import *
from scapy.layers.inet import ICMP, IP
from scapy.layers.l2 import Ether
eth = Ether(dst="18:f2:2c:c8:90:11", src="d8:b3:2f:80:2d:11",type="IPv4")
ip = IP(proto="icmp", src="192.168.0.103", dst="192.168.0.1")
icmp = ICMP(type="echo-request")
data = Raw(load=b'abc')
icmp_req_pkt = eth / ip / icmp / data
sendp(icmp_req_pkt, count=1, iface="WLAN")

# sr1 举例说明，可直接获取 icmp reply 报文
from scapy.all import *
from scapy.layers.inet import ICMP, IP
from scapy.layers.l2 import Ether
ip = IP(proto="icmp", src="192.168.0.103", dst="192.168.0.1")
icmp = ICMP(type="echo-request")
data = Raw(load=b'abc')
icmp_req_pkt = ip / icmp / data
sr1(icmp_req_pkt, timeout=3, iface="WLAN")

使用 wireshark 抓取 "WLAN" 接口的报文，过滤报文类型为 icmp，可查看收到 icmp reply。

3.4.2、scapy 嗅探报文

当使用测试 PC 发送 icmp 报文进行 Ping 网关时，报文交互如下：

PC -> 网关 icmp request -> 网关 icmp reply -> PC

from scapy.all import *
from scapy.layers.inet import ICMP, IP
from scapy.layers.l2 import Ether
eth = Ether(dst="18:f2:2c:c8:90:11", src="d8:b3:2f:80:2d:11",type="IPv4")
ip = IP(proto="icmp", src="192.168.0.103", dst="192.168.0.1")
icmp = ICMP(type="echo-request")
data = Raw(load=b'abc')
icmp_req_pkt = eth / ip / icmp / data
sendp(icmp_req_pkt, count=1, iface="WLAN")
reply = sniff(filter=f"icmp[icmptype]==0 and src host 192.168.0.1",count=1,timeout=5)
if reply:
    print("[success] 捕获到 ICMP 响应：")
    reply[0].show()
else:
    print("[fail] 未捕获到响应")

// 打印如下 . Sent 1 packets.
[success] 捕获到 ICMP 响应：
###[ Ethernet ]### dst = d8:b3:2f:80:2d:11 src = 18:f2:2c:c8:90:11 type = IPv4
###[ IP ]### version = 4 ihl = 5 tos = 0x0 len = 31 id = 29959 flags = frag = 0 ttl = 64 proto = icmp chksum = 0x841e src = 192.168.0.1 dst = 192.168.0.103 \
options \
###[ ICMP ]### type = echo-reply code = 0 chksum = 0x3b9d id = 0x0 seq = 0x0 unused = b''
###[ Raw ]### load = b'abc'

备注：filter 过滤规则介绍

• 指定方向过滤
  • filter="icmp[icmptype]==8" # 只捕获 ICMP 请求（type=8）
  • filter="icmp[icmptype]==0" # 只捕获 ICMP 响应（type=0）
• 结合 IP 地址过滤
  • filter="icmp and host 192.168.1.1" # 捕获与指定主机的所有 ICMP 通信
  • filter="icmp and src host 192.168.1.1" # 只捕获来自该主机的 ICMP
  • filter="icmp and dst host 192.168.1.1" # 只捕获发往该主机的 ICMP