你想要TTL吗

让我们从高层开始，然后向下移动

Scapy正在给你构造的包。如果需要数据包的TTL，请调用该属性：

>>> plist[182].ttl
64

如果要获取数据包的特定字节，请查看hextump：

>>> hexdump(plist[182])
0000  AA BB CC 66 42 DE AA BB CC 3F 52 A3 08 00 45 00  .a.lM..M.AK...E.
0010  00 5B 58 B9 40 00 40 06 64 96 C0 A8 01 28 AC D9  .[X.@.@.d....(..
...

这些是十六进制的，第一个字段0000是偏移量，然后是十六进制的16字节，然后是ascii

Offset  Bytes                                            ASCII
======  ===============================================  ================
0000    AA BB CC 66 42 DE AA BB CC 3F 52 A3 08 00 45 00  .a.lM..M.AK...E.

事情从0开始，所以第一行的字节地址是0..15。 第二行偏移量为16（16*1）。所以字节地址是16..31。 第三行，偏移量为32（16*2）。所以字节地址是32..47

您突出显示了第2行的第7个字节：

Offset Bytes                                            ASCII
       0  1  2  3  4  5  6  7  8  9  10 11 12 13 14 15
====== ===============================================  ================
0010   00 5B 58 B9 40 00 40 06 64 96 C0 A8 01 28 AC D9  .[X.@.@.d....(..

该地址是：

offset + byte_address.
offset = 16 * 1
byte_address = 6

这给了我们：

16 + 6 = 22

这样，我们现在可以从原始数据包中获取字节地址22：

>>> b = raw(plist[182])
>>> b[22]
64

请注意，wireshark数据包编号从1开始。python中的数据包将从0开始。在我的示例中，数据包182对应于Wireshark中的数据包183

plist[182]。有效负载提供了数据包的IP部分，因此偏移量会有所不同，因为我们不再查看整个数据包。我们可以使用“.ttl”属性获得相同的值。或者，知道地址是IP报头中的字节8：

>>> plist[182].payload.ttl
64
>>> raw(plist[182].payload)[8]
64