1、tcpreplay使用手冊2013年4月27日星期六陳海敏 簡介Tcpreplay是一系列工具的總稱，包括tcpreplay、tcprewrite和tcpprep等工具，這也是Tcpreplay的第一個字母大寫的原因。它用來在Unix系統(tǒng)或類Unix系統(tǒng)上重放網(wǎng)絡包。這些包是由tcpdump、ethereal和wireshark等軟件抓取到的，即pcap格式的數(shù)據(jù)包。正因為Tcpreplay有重放數(shù)據(jù)包的功能，所以它常被用來模擬IDS攻擊等測試環(huán)境，被廣泛地用來測試防火墻和IDS工具的安全性。一、tcpreplay使用方法1 基本用法將抓取到的pcap包通過eth0網(wǎng)口進行回放，當存在多網(wǎng)卡時

2、，可以選擇通過哪個口進行發(fā)送，一般一臺機子只有一個網(wǎng)卡eth0# tcpreplay -intf1=eth0 sample.pcap或者縮寫#tcpreplay -i eth0 sample.pcap關于縮寫，一般都是全稱的首字母，不再給出特別說明，自己可以通過tcpreplay h 命令進行查看，附錄部分也給出了部分常用的，可以參考。2 以不同的速度回放1）以盡可能大的速度回放# tcpreplay -topspeed -intf1=eth0 sample.pcap2）以10Mbps速率回放# tcpreplay -mbps=10.0 -intf1=eth0 sample.pcap3）以原速

3、度的7.3倍速率回放# tcpreplay -multiplier=7.3 -intf1=eth0 sample.pcap4）以原速度的0.5倍速率回放# tcpreplay -multiplier=0.5 -intf1=eth0 sample.pcap5）以每秒回放25個包的速率回放# tcpreplay -pps=25 -intf1=eth0 sample.pcap6）以一次一個包的速率發(fā)送數(shù)據(jù)包（debug時很有用）# tcpreplay -oneatatime -verbose -intf1=eth0 sample.pcap3 循環(huán)播放數(shù)據(jù)包1）重放10次# tcpreplay -lo

4、op=10 -intf1=eth0 sample.pcap2）無限循環(huán)重放,直到Ctrl+C結束# tcpreplay -loop=0 -intf1=eth0 sample.pcap4 兩個網(wǎng)口之間重放數(shù)據(jù)包1）可以利用tcpprep將數(shù)據(jù)包通信雙方區(qū)分為客戶端和服務器端，這樣在eth0和eth1之間通信就相當于是客戶端和服務器。# tcpreplay -cachefile=sample.prep -intf1=eth0 -intf2=eth1 sample.pcap說明：cachefile為由tcpprep生成，會在下面的tcpgrep部分介紹具體用法2）如果已經(jīng)將數(shù)據(jù)包分成兩個文件，那么t

5、cpreplay就可以用如下的命令在兩個網(wǎng)口之間進行數(shù)據(jù)的重放。# tcpreplay -dualfile -intf1=eth0 -intf2=eth1 side-a.pcap side-b.pcap更多詳細信息.請查看: 二、tcpprep使用方法1 基本用法tcpprep用于將pcap數(shù)據(jù)包分解為客戶端和服務器端. tcpprep所支持的模式: Auto/Bridge Auto/Router Auto/Client Auto/Server IPv4 matching CIDR IPv4 matching Regex TCP/UDP Port MAC address1.1 auto/bri

6、dge模式在auto/bridge模式下,tcpprep根據(jù)clinet和server的行為分析數(shù)據(jù)包.client行為如下定義: 發(fā)送一個 TCP Syn 包到另外一臺主機 發(fā)送一個 DNS 請求 收到一個 ICMP 端口不可達Server行為如下定義: 發(fā)送一個 TCP Syn/Ack 包到另外一臺主機 發(fā)送一個 DNS 應答 發(fā)關一個 ICMP 端口不可達例: tcpprep -auto=bridge -pcap=input.pcap -cachefile=input.cache如果數(shù)據(jù)包中有任何一個包無法分類.tcpprep將報錯.在分類完后,服務器端到客戶端的數(shù)據(jù)包率將被設置為此數(shù)據(jù)

7、包的數(shù)據(jù)率,客戶端到服務器端的數(shù)據(jù)率將會是它的兩倍.不然.你也可以用ratio參數(shù)修改它.ratio對每一種模式都是有效的.例如:tcpprep -auto=bridge -pcap=input.pcap -cachefile=input.cache -ratio=3.51.2 auto/router模式在auto/router模式下,首先是按auto/bridger模式的方法標記出client和server.對于存在那些未標記的主機.通過分析其與其它主機的數(shù)據(jù)包,將其劃分到相同的子網(wǎng),并標記為與其子網(wǎng)內(nèi)其它主機相同的標記.例: tcpprep -auto=router -pcap=input

8、.pcap -cachefile=input.cache1.3 auto/client模式在auto/client模式下,其分類標準與auto/birdge相同,只不過對于那些被標記為client的IP.其只對ip 的第一個行為做判斷,而不是每一次都做判斷.例:tcpprep -auto=client -pcap=input.pcap -cachefile=input.cache1.4 auto/server模式auto/server與auto/client相似.不同在于它是對被標記為server的ip做處理.1.5 Cidr模式在Cidr模式下.用戶手動給出server所在的網(wǎng)段.而不像在a

9、uto模式下由tcpprep來區(qū)分.例: Tcpprep-cidr-pcap=input.pcap-cachefile=input.cache1.6 Regex模式在Regex模式下.用戶給出能匹配server的正則表達式.例:tcpprep -regex=(10|20).* -pcap=input.pcap -cachefile=input.cache1.7 port模式在port模式下,用端口號來區(qū)分server 和client.默認情況下,01024端口為server端所有.1024以外為client所有.當然.你也可以在自己/etc/services中劃分服務器端口.tcpprep -

10、port -services=/etc/services -pcap=input.pcap -cachefile=input.cache1.8 mac模式在mac模式下.由用戶指定那些mac為服務端mac.例:Tcpprep-mac=00:21:00:55:23:AF,00:45:90:E0:CF:A2-pcap=input.pcap-cachefile=input.cache2 跳過數(shù)據(jù)包2.1 參數(shù)include在include下.可以指定所要處理的數(shù)據(jù)包1）只處理源IP在網(wǎng)段的數(shù)據(jù)包Tcppreppcap=input.pcap -cachefile=input.cache2）只處理目的I

11、P在網(wǎng)段的數(shù)據(jù)包tcppreppcap=input.pcap -cachefile=input.cache3）只處理目的IP和源IP都在網(wǎng)段的數(shù)據(jù)包.Tcppreppcap=input.pcap -cachefile=input.cache4）處理只要源IP或者目的IP在網(wǎng)段的數(shù)據(jù)包.5）Tcppreppcap=input.pcap -cachefile=input.cache6）處理指定編號1到5,9,15,72到結尾處的這些數(shù)據(jù)包Tcpprep-auto=bridge-include=P:1-5,9,15,72- -pcap=input.pcap -cachefile=input.cach

12、e7）只處理協(xié)議為tcp的端口號為22的據(jù)包Tcpprep-auto=bridge -include=F:tcp port 22 -pcap=input.pcap -cachefile=input.cache 2.2 參數(shù)ExcludeExclude和include使用相似,功能相反.只舉一例.其它類推.例如:只處理源IP不在網(wǎng)段內(nèi)的數(shù)據(jù)包.Tcpprep-auto=bridge pcap=input.pcap -cachefile=input.cache2.3其他在使用tcpprep工具時,我們還可以給所得的cache文件加一些注釋.例:tcpprep -auto=bridge -pcap=

13、input.pcap -cachefile=input.cache -comment=This is our evil packet pcap使用如下命令查看注釋.tcpprep -print-comment=input.cache查看每個數(shù)據(jù)包的狀態(tài).tcpprep -print-stats=input.cache查看每個數(shù)據(jù)包的數(shù)據(jù).tcpprep -print-info=input.cache更多詳細信息.請查看: 三、tcprewrite使用方法1.基本用法Tcprewrite至少需要兩個參數(shù).infile指定需要編輯的pcap文件,outfile,指定輸出的pcap文件名.例: $

14、tcprewrite -infile=input.pcap -outfile=output.pcapinput.pcap為原數(shù)據(jù)包，output.pcap為被修改后的數(shù)據(jù)包，此處并沒有對數(shù)據(jù)包內(nèi)容進行任何修改，具體參數(shù)，下面介紹。2 具體用法說明Tcprewrite支持的輸入文件的網(wǎng)絡類型: Ethernet Cisco HDLC Linux SLL BSD Loopback BSD Null Raw IPTcprewrite支持的輸出文件的網(wǎng)絡類型: Ethernet (enet) Cisco HDLC (hdlc) User defined Layer 2 (user)2.1 修改目的主機

15、MAC和源主機MAC1）直接修改原始包tcprewrite -enet-dmac=00:55:22:AF:C6:37 -enet-smac=00:44:66:FC:29:AF -infile=input.pcap -outfile=output.pcap2）修改由tcpprep分析server和client端數(shù)據(jù)包的源mac目的mactcprewrite -enet-dmac=00:44:66:FC:29:AF,00:55:22:AF:C6:37 -enet-smac=00:66:AA:D1:32:C2,00:22:55:AC:DE:AC -cachefile=input.cache -inf

16、ile=input.pcap -outfile=output.pcap第一個目的MAC和源MAC為server端,第二個為client端3）刪除和添加802.1q VLAN tag信息:刪除：tcprewrite -enet-vlan=del -infile=input.pcap -outfile=output.pcap添加：cprewrite -enet-vlan=add -enet-vlan-tag=40 -enet-vlan-cfi=1 -enet-vlan-pri=4 -infile=input.pcap -outfile=output.pcap 2.2 修改IP地址將源IP替換為.1

17、,將目的IP替換為10.0.0.2, skipbroadcast忽略廣播包tcprewrite -endpoints=.1:10.10.1.2 -cachefile=input.cache -infile=input.pcap -outfile=output.pcap skipbroadcast2.3 修改網(wǎng)段IP地址將.0/8網(wǎng)段的IP替換與將網(wǎng)段的IP替換為tcprewrite -pnat=infile=input.pcap -outfile=output.pcap skipbroadcast2.4 隨機生成源IPtcprewrite -seed=423 -infile=input.pca

18、p -outfile=output.pcap2.4 修改端口號將端口80修改為8080,將端口22修改為8022tcprewrite -portmap=80:8080,22:8022 -infile=input.pcap -outfile=output.pcap更多詳細信息.請查看: 四、用法舉例將源數(shù)據(jù)包改為和.193發(fā)包95mac地址:a4:1f:72:4e:42:ac 193mac地址：00:25:90:0a:08:8e1.tcpprep生成cache：tcpprep -p -pcap=test.pcap -cachefile=test.cache說明，tcpprep部分也有說明，-p，

19、表示根據(jù)端口號來區(qū)分客戶端和服務器端，一般而言0-1024為服務器所使用的端口2.tcpwrite修改mac：tcprewrite -enet-smac=a4:1f:72:4e:42:ac -enet-dmac=00:25:90:0a:08:8e -infile=test.pcap -outfile=tmp.pcap3.tcpwrite修改ip：tcprewrite -cachefile=test.cache -:192.168.48.95 -infile=tmp.pcap -outfile=testout.pcap2,3兩步可以合并:tcprewrite -cachefile=test.cache -enet-smac=a4:1f:72:4e:42:ac -enet-dmac=00:25:90:0a:08:8e -endpoints=： -infile=test.pcap -outfile=testo