tcpreplay使用手册

1、tcpreplay使用手册2013年4月27日星期六陈海敏 简介Tcpreplay是一系列工具的总称，包括tcpreplay、tcprewrite和tcpprep等工具，这也是Tcpreplay的第一个字母大写的原因。它用来在Unix系统或类Unix系统上重放网络包。这些包是由tcpdump、ethereal和wireshark等软件抓取到的，即pcap格式的数据包。正因为Tcpreplay有重放数据包的功能，所以它常被用来模拟IDS攻击等测试环境，被广泛地用来测试防火墙和IDS工具的安全性。一、tcpreplay使用方法1 基本用法将抓取到的pcap包通过eth0网口进行回放，当存在多网卡时

2、，可以选择通过哪个口进行发送，一般一台机子只有一个网卡eth0# tcpreplay -intf1=eth0 sample.pcap或者缩写#tcpreplay -i eth0 sample.pcap关于缩写，一般都是全称的首字母，不再给出特别说明，自己可以通过tcpreplay h 命令进行查看，附录部分也给出了部分常用的，可以参考。2 以不同的速度回放1）以尽可能大的速度回放# tcpreplay -topspeed -intf1=eth0 sample.pcap2）以10Mbps速率回放# tcpreplay -mbps=10.0 -intf1=eth0 sample.pcap3）以原速

3、度的7.3倍速率回放# tcpreplay -multiplier=7.3 -intf1=eth0 sample.pcap4）以原速度的0.5倍速率回放# tcpreplay -multiplier=0.5 -intf1=eth0 sample.pcap5）以每秒回放25个包的速率回放# tcpreplay -pps=25 -intf1=eth0 sample.pcap6）以一次一个包的速率发送数据包（debug时很有用）# tcpreplay -oneatatime -verbose -intf1=eth0 sample.pcap3 循环播放数据包1）重放10次# tcpreplay -lo

4、op=10 -intf1=eth0 sample.pcap2）无限循环重放,直到Ctrl+C结束# tcpreplay -loop=0 -intf1=eth0 sample.pcap4 两个网口之间重放数据包1）可以利用tcpprep将数据包通信双方区分为客户端和服务器端，这样在eth0和eth1之间通信就相当于是客户端和服务器。# tcpreplay -cachefile=sample.prep -intf1=eth0 -intf2=eth1 sample.pcap说明：cachefile为由tcpprep生成，会在下面的tcpgrep部分介绍具体用法2）如果已经将数据包分成两个文件，那么t

5、cpreplay就可以用如下的命令在两个网口之间进行数据的重放。# tcpreplay -dualfile -intf1=eth0 -intf2=eth1 side-a.pcap side-b.pcap更多详细信息.请查看: 二、tcpprep使用方法1 基本用法tcpprep用于将pcap数据包分解为客户端和服务器端. tcpprep所支持的模式: Auto/Bridge Auto/Router Auto/Client Auto/Server IPv4 matching CIDR IPv4 matching Regex TCP/UDP Port MAC address1.1 auto/bri

6、dge模式在auto/bridge模式下,tcpprep根据clinet和server的行为分析数据包.client行为如下定义: 发送一个 TCP Syn 包到另外一台主机 发送一个 DNS 请求 收到一个 ICMP 端口不可达Server行为如下定义: 发送一个 TCP Syn/Ack 包到另外一台主机 发送一个 DNS 应答 发关一个 ICMP 端口不可达例: tcpprep -auto=bridge -pcap=input.pcap -cachefile=input.cache如果数据包中有任何一个包无法分类.tcpprep将报错.在分类完后,服务器端到客户端的数据包率将被设置为此数据

7、包的数据率,客户端到服务器端的数据率将会是它的两倍.不然.你也可以用ratio参数修改它.ratio对每一种模式都是有效的.例如:tcpprep -auto=bridge -pcap=input.pcap -cachefile=input.cache -ratio=3.51.2 auto/router模式在auto/router模式下,首先是按auto/bridger模式的方法标记出client和server.对于存在那些未标记的主机.通过分析其与其它主机的数据包,将其划分到相同的子网,并标记为与其子网内其它主机相同的标记.例: tcpprep -auto=router -pcap=input

8、.pcap -cachefile=input.cache1.3 auto/client模式在auto/client模式下,其分类标准与auto/birdge相同,只不过对于那些被标记为client的IP.其只对ip 的第一个行为做判断,而不是每一次都做判断.例:tcpprep -auto=client -pcap=input.pcap -cachefile=input.cache1.4 auto/server模式auto/server与auto/client相似.不同在于它是对被标记为server的ip做处理.1.5 Cidr模式在Cidr模式下.用户手动给出server所在的网段.而不像在a

9、uto模式下由tcpprep来区分.例: Tcpprep-cidr-pcap=input.pcap-cachefile=input.cache1.6 Regex模式在Regex模式下.用户给出能匹配server的正则表达式.例:tcpprep -regex=(10|20).* -pcap=input.pcap -cachefile=input.cache1.7 port模式在port模式下,用端口号来区分server 和client.默认情况下,01024端口为server端所有.1024以外为client所有.当然.你也可以在自己/etc/services中划分服务器端口.tcpprep -

10、port -services=/etc/services -pcap=input.pcap -cachefile=input.cache1.8 mac模式在mac模式下.由用户指定那些mac为服务端mac.例:Tcpprep-mac=00:21:00:55:23:AF,00:45:90:E0:CF:A2-pcap=input.pcap-cachefile=input.cache2 跳过数据包2.1 参数include在include下.可以指定所要处理的数据包1）只处理源IP在网段的数据包Tcppreppcap=input.pcap -cachefile=input.cache2）只处理目的I

11、P在网段的数据包tcppreppcap=input.pcap -cachefile=input.cache3）只处理目的IP和源IP都在网段的数据包.Tcppreppcap=input.pcap -cachefile=input.cache4）处理只要源IP或者目的IP在网段的数据包.5）Tcppreppcap=input.pcap -cachefile=input.cache6）处理指定编号1到5,9,15,72到结尾处的这些数据包Tcpprep-auto=bridge-include=P:1-5,9,15,72- -pcap=input.pcap -cachefile=input.cach

12、e7）只处理协议为tcp的端口号为22的据包Tcpprep-auto=bridge -include=F:tcp port 22 -pcap=input.pcap -cachefile=input.cache 2.2 参数ExcludeExclude和include使用相似,功能相反.只举一例.其它类推.例如:只处理源IP不在网段内的数据包.Tcpprep-auto=bridge pcap=input.pcap -cachefile=input.cache2.3其他在使用tcpprep工具时,我们还可以给所得的cache文件加一些注释.例:tcpprep -auto=bridge -pcap=

13、input.pcap -cachefile=input.cache -comment=This is our evil packet pcap使用如下命令查看注释.tcpprep -print-comment=input.cache查看每个数据包的状态.tcpprep -print-stats=input.cache查看每个数据包的数据.tcpprep -print-info=input.cache更多详细信息.请查看: 三、tcprewrite使用方法1.基本用法Tcprewrite至少需要两个参数.infile指定需要编辑的pcap文件,outfile,指定输出的pcap文件名.例: $

14、tcprewrite -infile=input.pcap -outfile=output.pcapinput.pcap为原数据包，output.pcap为被修改后的数据包，此处并没有对数据包内容进行任何修改，具体参数，下面介绍。2 具体用法说明Tcprewrite支持的输入文件的网络类型: Ethernet Cisco HDLC Linux SLL BSD Loopback BSD Null Raw IPTcprewrite支持的输出文件的网络类型: Ethernet (enet) Cisco HDLC (hdlc) User defined Layer 2 (user)2.1 修改目的主机

15、MAC和源主机MAC1）直接修改原始包tcprewrite -enet-dmac=00:55:22:AF:C6:37 -enet-smac=00:44:66:FC:29:AF -infile=input.pcap -outfile=output.pcap2）修改由tcpprep分析server和client端数据包的源mac目的mactcprewrite -enet-dmac=00:44:66:FC:29:AF,00:55:22:AF:C6:37 -enet-smac=00:66:AA:D1:32:C2,00:22:55:AC:DE:AC -cachefile=input.cache -inf

16、ile=input.pcap -outfile=output.pcap第一个目的MAC和源MAC为server端,第二个为client端3）删除和添加802.1q VLAN tag信息:删除：tcprewrite -enet-vlan=del -infile=input.pcap -outfile=output.pcap添加：cprewrite -enet-vlan=add -enet-vlan-tag=40 -enet-vlan-cfi=1 -enet-vlan-pri=4 -infile=input.pcap -outfile=output.pcap 2.2 修改IP地址将源IP替换为.1

17、,将目的IP替换为10.0.0.2, skipbroadcast忽略广播包tcprewrite -endpoints=.1:10.10.1.2 -cachefile=input.cache -infile=input.pcap -outfile=output.pcap skipbroadcast2.3 修改网段IP地址将.0/8网段的IP替换与将网段的IP替换为tcprewrite -pnat=infile=input.pcap -outfile=output.pcap skipbroadcast2.4 随机生成源IPtcprewrite -seed=423 -infile=input.pca

18、p -outfile=output.pcap2.4 修改端口号将端口80修改为8080,将端口22修改为8022tcprewrite -portmap=80:8080,22:8022 -infile=input.pcap -outfile=output.pcap更多详细信息.请查看: 四、用法举例将源数据包改为和.193发包95mac地址:a4:1f:72:4e:42:ac 193mac地址：00:25:90:0a:08:8e1.tcpprep生成cache：tcpprep -p -pcap=test.pcap -cachefile=test.cache说明，tcpprep部分也有说明，-p，

19、表示根据端口号来区分客户端和服务器端，一般而言0-1024为服务器所使用的端口2.tcpwrite修改mac：tcprewrite -enet-smac=a4:1f:72:4e:42:ac -enet-dmac=00:25:90:0a:08:8e -infile=test.pcap -outfile=tmp.pcap3.tcpwrite修改ip：tcprewrite -cachefile=test.cache -:192.168.48.95 -infile=tmp.pcap -outfile=testout.pcap2,3两步可以合并:tcprewrite -cachefile=test.cache -enet-smac=a4:1f:72:4e:42:ac -enet-dmac=00:25:90:0a:08:8e -endpoints=： -infile=test.pcap -outfile=testo