Homework_2

禁 止 吃 瓜

我是小鱼

刚才有个同学问我小鱼发生肾么事了

我说怎么回事？

给我发了一个张截图，我一看！

噢！原来是昨天发布第二次寒假作业了

我大一了啊没有闪

来！偷袭！我三岁的小同志

当时就流眼泪了

（编不下去了）

任务

• 读取流量数据文件（完成）
• 总数量、总包长随每 10K 流量读取处理完毕，变化的折线图（未完成！！！有思路晚上琢磨琢磨看能不能整出来）
• 设定阈值 φ 和 Φ
  • 单周期内访问次数（即数据包数）超过某一阈值 Φ
  • 单周期内数据包累积值（即数据包长累积值）超过某一阈值 φ
• 检测出的异常流的 list （完成，通过输出图表和列表）

实现方法

python

正文

时间评估

和第一次作业一样，依然是什么都不会

大方向是python先学到数组和字典，然后学Matplotlib用来绘图

但是奆佬说Matplotlib太粗陋，所以有能力的话学web（fine现在看来没有）

Python肝两天看看能不能搞完，web没有接触过时间不好估计

本来以为寒假开始就买python书吃灰的我在第一层，没想到这波在大气层

学习的编程语言

Python

过程

准备工作

python学习笔记

安装Scapy

                     aSPY//YASa
             apyyyyCY//////////YCa       |
            sY//////YSpcs  scpCY//Pp     | Welcome to Scapy
 ayp ayyyyyyySCP//Pp           syY//C    | Version 2.4.4
 AYAsAYYYYYYYY///Ps              cY//S   |
         pCCCCY//p          cSSps y//Y   | https://github.com/secdev/scapy
         SPPPP///a          pP///AC//Y   |
              A//A            cyP////C   | Have fun!
              p///Ac            sC///a   |
              P////YCpc           A//A   | Craft packets like it is your last
       scccccp///pSP///p          p//Y   | day on earth.
      sY/////////y  caa           S//P   |                      -- Lao-Tze
       cayCyayP//Ya              pY/Ya   |
        sY/PsY////YCc          aC//Yp
         sc  sccaCY//PCypaapyCP//YSs
                  spCPY//////YPSps
                       ccaacs

过程坎坷.jpg

我以为从头开始学python是最难的部分，没想到scapy是最难的部分，没有找到很系统的教程，CSDN上写的看了也非常头疼，总之就是非常绝望。

先贴参考资料：

scapy中文使用文档

用scapy分层解析pcap报文

Matplotlib如何绘制多个子图

还有一些看完就关了，有点不全

程序

使用tcpdump抓包

sudo tcpdump -c 数量 -w 文件名

• 运行后可以在文件中找到抓取的pcap格式的数据

• 读取pcap格式数据可以用wireshark（与主线无关）

处理数据

giao我后来才知道可以用sniff抓包，但是既然抓都抓了将错就错fine

直接上代码

from scapy.all import *
if __name__ == '__main__':
	limit_num = input("Enter the limit of quantity:")
	limit_num = int(limit_num)#获取数据包数的阈值
	limit_len = input("Enter the limit of lenth:")
	limit_len = int(limit_len)#获取数据包长累计值的阈值
	pkts_file = rdpcap('test')#读pcap文件
	pkt_list = pkts_file.res#提取每个包到清单pkt_list

	dos_result_num = {}
	dos_result_len = {}

#####################处理数据#####################

	for packet in pkt_list:
    		try:
        		if packet.getlayer(TCP).fields['flags']==2:
                        #这个我也迷惑，好像flag等于2就可以判定进行了一次访问（SYN包那边的知识）
            			destination_ip = packet.getlayer(IP).fields['dst']#提取目的地址
            			conn = destination_ip
            			conn_counts = dos_result_num.get(conn,0)#判断是否有这个键值，没有就返回0
            			dos_result_num[conn] = conn_counts + 1#在返回值的基础上加1
    		except Exception:
        		pass

	for packet in pkt_list:#和统计次数的操作大同小异
    		try:
        		if packet.getlayer(TCP).fields['flags']==2:
            			destination_ip = packet.getlayer(IP).fields['dst']
            			lenth = packet.getlayer(IP).fields['len']
            			conn = destination_ip
            			conn_lenth = dos_result_len.get(conn,0)
            			dos_result_len[conn] = conn_lenth + lenth
    		except Exception:
        		pass

	from matplotlib import pyplot as plt

	conn_len_list = sorted([[conn,lenth] for conn,lenth in dos_result_len.items() if lenth > limit_len],key = lambda x:x[1])
        #提取长度大于设定包长阈值的连接，并且从大到小排序
	conn_num_list = sorted([[conn,num] for conn,num in dos_result_num.items() if num > limit_num],key = lambda x:x[1])
        #提取数量大于设定包数阈值的连接，并且从大到小排序

	conn_list_1 = []
	conn_list_2 = []
	lenth_list = []
	num_list = []

    #处理需要的数据，为绘图做准备

	for c,l in conn_len_list:
		conn_list_1.append(str(c))
		lenth_list.append(l)
	for c,n in conn_num_list:
		conn_list_2.append(str(c))
		num_list.append(n)

#######################绘图#######################

	print("abnormal_list_quantity")
	for abn in conn_list_1:
		print(abn)
	print("\nabnormal_list_lenth")
	for abn in conn_list_2:
		print(abn)
	plt.subplot(211)#子图位置第一行第一列
	plt.barh(conn_list_1, lenth_list, height=0.5)
	plt.title('Dos analysis')
	plt.xlabel('Lenth')
	plt.ylabel('Connect')

	plt.subplot(212)#子图位置第二行第一列
	plt.barh(conn_list_2, num_list, height=0.5)
	plt.xlabel('Quantity')
	plt.ylabel('Connect')

	plt.show()

运行结果

如果包长阈值太小就会密密麻麻

对包长和包数的统计是独立的，我左边的列表输出应该整个并集来着（马后炮）

总结

Github链接

Click Here

实际用时

• 一开始python基础内容的学习基本跟上计划（计划两天实际两天半）
• 后面学scapy就很有抵触情绪，因为实在做不出来挫败感爆棚，一拖再拖，几乎没什么进展
• 最后硬着头皮上整出了这些，有一些功能也没有实现害 （一开始的雄心壮志是做出骨灰级）

遇到的困难

一语成谶

遇到的困难是相当多

• 安装scapy、matplotlib啥的也不是一帆风顺，本来想在window上做，但是装scapy一直满屏飘红报错（虽然后来装好了），遂放弃，用Linux做。装matplotlib也蛮坎坷的

• 主要是scapy没有找到很系统的教学 有也看不懂 ，在CSDN上看到的又是只言片语一笔带过

绝望.jpg

这次作业只运用了scapy的冰山一角，但是从头学scapy不现实，就单独的问题去找博客获取的信息又太少，有效获取信息的能力很欠缺

替老板思考

• 这些懒懒的技术人员制定的判定规则会出现的问题有哪些？

  如果阈值太低的话（比如上面设置包长100）可能会出现误杀的情况

• 如果你是竞争对手，能否找到其他进攻方式绕开该规则，或者通过其他网络手段有效打击对手？

  ​可以更改自己的地址，过一会儿换一个，把自己隐藏在正常访问的用户中

• 评估自己的系统的处理效率

  ​运行二十多秒才能出结果，效率极高

• 老板某日在想桃子：我xxx有一个梦想，建成世界一流 news app！能够为世界上每个网民提供吃瓜服务。请从多个方向考虑该系统需要改进的地方还有哪些？（数据量，效率，安全性等等）

  ​需要改进我自己

不过也蛮骄傲的这次作业几乎完全独立完成，没靠过谁

因为大佬在大气层我在地板他们说的我都听不懂