(参考)tcpreplay使用手册
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
tcpreplay使用手册
2013年4月27日星期六
陈海敏简介
Tcpreplay是一系列工具的总称,包括tcpreplay、tcprewrite和tcpprep 等工具,这也是Tcpreplay的第一个字母大写的原因。它用来在Unix系统或类Unix系统上重放网络包。这些包是由tcpdump、ethereal和wireshark等软件抓取到的,即pcap格式的数据包。正因为Tcpreplay有重放数据包的功能,所以它常被用来模拟IDS攻击等测试环境,被广泛地用来测试防火墙和IDS工具的安全性。
一、tcpreplay使用方法
1 基本用法
将抓取到的pcap包通过eth0网口进行回放,当存在多网卡时,可以选择通过哪个口进行发送,一般一台机子只有一个网卡eth0
# tcpreplay --intf1=eth0 sample.pcap
或者缩写
#tcpreplay -i eth0 sample.pcap
关于缩写,一般都是全称的首字母,不再给出特别说明,自己可以通过tcpreplay –h 命令进行查看,附录部分也给出了部分常用的,可以参考。
2 以不同的速度回放
1)以尽可能大的速度回放
#tcpreplay --topspeed --intf1=eth0 sample.pcap
2)以10Mbps速率回放
# tcpreplay --mbps=10.0 --intf1=eth0 sample.pcap
3)以原速度的7.3倍速率回放
#tcpreplay --multiplier=7.3 --intf1=eth0 sample.pcap
4)以原速度的0.5倍速率回放
#tcpreplay --multiplier=0.5 --intf1=eth0 sample.pcap
5)以每秒回放25个包的速率回放
#tcpreplay --pps=25 --intf1=eth0 sample.pcap
6)以一次一个包的速率发送数据包(debug时很有用)
#tcpreplay --oneatatime --verbose --intf1=eth0 sample.pcap
3 循环播放数据包
1)重放10次
#tcpreplay --loop=10 --intf1=eth0 sample.pcap
2)无限循环重放,直到Ctrl+C结束
#tcpreplay --loop=0 --intf1=eth0 sample.pcap
4 两个网口之间重放数据包
1)可以利用tcpprep将数据包通信双方区分为客户端和服务器端,这样在eth0和eth1之间通信就相当于是客户端和服务器。
# tcpreplay --cachefile=sample.prep --intf1=eth0 --intf2=eth1 sample.pcap
说明:cachefile为由tcpprep生成,会在下面的tcpgrep部分介绍具体用法
2)如果已经将数据包分成两个文件,那么tcpreplay就可以用如下的命令在两个网口之间进行数据的重放。
# tcpreplay --dualfile --intf1=eth0 --intf2=eth1 side-a.pcap side-b.pcap
更多详细信息.请查看: /trac/wiki/tcpreplay
二、tcpprep使用方法
1 基本用法
tcpprep用于将pcap数据包分解为客户端和服务器端.
tcpprep所支持的模式:
•Auto/Bridge
•Auto/Router
•Auto/Client
•Auto/Server
•IPv4 matching CIDR
•IPv4 matching Regex
•TCP/UDP Port
•MAC address
1.1 auto/bridge模式
在auto/bridge模式下,tcpprep根据clinet和server的行为分析数据包
.
client行为如下定义:
•发送一个TCP Syn 包到另外一台主机
•发送一个DNS 请求
•收到一个ICMP 端口不可达
Server行为如下定义:
•发送一个TCP Syn/Ack 包到另外一台主机
•发送一个DNS 应答
•发关一个ICMP 端口不可达
例: tcpprep --auto=bridge --pcap=input.pcap
--cachefile=input.cache
如果数据包中有任何一个包无法分类.tcpprep将报错.在分类完后,服务器端到客户端的数据包率将被设置为此数据包的数据率,客户端到服务器端的数据率将会是它的两倍.不然.你也可以用ratio参数修改它.ratio对每一种模式都是有效的.例如:
tcpprep --auto=bridge --pcap=input.pcap
--cachefile=input.cache --ratio=3.5
1.2 auto/router模式
在auto/router模式下,首先是按auto/bridger模式的方法标记出client 和server.对于存在那些未标记的主机.通过分析其与其它主机的数据包,将其划分到相同的子网,并标记为与其子网内其它主机相同的标记.例:
tcpprep --auto=router --pcap=input.pcap
--cachefile=input.cache