使用替罪羊获取有关layer2连接的信息

Question

我想从pcap中获取有关mac地址在802.11协议中“交谈”的信息。我做了一些类似于tcp连接的工作：

    l = self.pcap[int(arg)]
    ipsrc = l.getlayer("IP").src
    ipdst = l.getlayer("IP").dst
    portsrc = l.getlayer("TCP").sport
    portdst = l.getlayer("TCP").dport

    pkt = []
    pkt.append([])
    for i,p in enumerate(self.pcap):
        if p.haslayer('TCP'):
            if p[IP].src == ipsrc and p[IP].dst == ipdst and p[TCP].sport == portsrc and p[TCP].dport == portdst:
                pkt.append([i, p])
            if p[IP].src == ipdst and p[IP].dst == ipsrc and p[TCP].sport == portdst and p[TCP].dport == portsrc:
                pkt.append([i, p])

其中，arg是一个表示数据包ID的数字，而self.pcap是一个使用rdpcap命令打开的pcap。

除了mac地址和802.11协议之外，还有人知道如何实现上述功能吗？谢谢。

Answer 1

参见从802.11 mac头获取mac附件的示例：

from scapy.all import *

pcap = rdpcap('test_wifi.pcap')
for pkt in pcap:
    if pkt.haslayer(Dot11):
        print "Addr1 = %s, Addr2 = %s, Addr3 = %s, Addr4 = %s" %(pkt.addr1, pkt.addr2, pkt.addr3, pkt.addr4)

我将我的无线网卡设置为监视模式，并将捕获的数据包保存到“test_wifi.pcap”文件中以测试此代码。