tcpreplay使用手册.docVIP

Tcpreplay的使用手册(结合实例) 简介 Tcpreplay是一系列工具的总称，包括tcpreplay、tcprewrite和tcpprep等工具，这也是Tcpreplay的第一个字母大写的原因。它用来在Unix系统或类Unix系统上重放网络包。这些包是由tcpdump、ethereal和wireshark等软件抓取到的，即pcap格式的数据包。 正因为Tcpreplay有重放数据包的功能，所以它常被用来模拟IDS攻击等测试环境，被广泛地用来测试防火墙和IDS工具的安全性。 二.安装方法 1.文件下载 官方网站下载/tcpreplay/tcpreplay-3.3.2.tar.gz?download 2.安装 解压文件.[Nsos5 work]# tar -xf tcpreplay-3.3.2.tar.gz 进入文件夹.[Nsos5 work]# cd tcpreplay-3.3.2 依次键入:./congfigure make make install 安装完成后便会多出三个工具,可以依次健入:tcpreplay –V tcpprep –V tcprewrite -V 查看相关版本信息. 三.工具集介绍 1.tcpprep tcpprep用于将pcap数据包分解为客户端和服务器端. Tcpprep所支持的模式: ? Auto/Bridge ? Auto/Router ? Auto/Client ? Auto/Server ? IPv4 matching CIDR ? IPv4 matching Regex ? TCP/UDP Port ? MAC address 在auto/bridge模式下,tcpprep根据clinet和server的行为分析数据包. client行为如下定义: ? 发送一个 TCP Syn 包到另外一台主机 ? 发送一个 DNS 请求 ? 收到一个 ICMP 端口不可达 Server行为如下定义: ? 发送一个 TCP Syn/Ack 包到另外一台主机 ? 发送一个 DNS 应答 ? 发关一个 ICMP 端口不可达 例: tcpprep --auto=bridge --pcap=input.pcap --cachefile=input.cache 如果数据包中有任何一个包无法分类.tcpprep将报错.在分类完后,服务器端到客户端的数据包率将被设置为此数据包的数据率,客户端到服务器端的数据率将会是它的两倍.不然.你也可以用ratio参数修改它.ratio对每一种模式都是有效的.例如: tcpprep --auto=bridge --pcap=input.pcap --cachefile=input.cache --ratio=3.5 在auto/router模式下,首先是按auto/bridger模式的方法标记出client和server.对于存在那些未标记的主机.通过分析其与其它主机的数据包,将其划分到相同的子网,并标记为与其子网内其它主机相同的标记.例: tcpprep --auto=router --pcap=input.pcap --cachefile=input.cache 在auto/client模式下,其分类标准与auto/birdge相同,只不过对于那些被标记为client的IP.其只对ip 的第一个行为做判断,而不是每一次都做判断.例: tcpprep --auto=client --pcap=input.pcap --cachefile=input.cache auto/server与auto/client相似.不同在于它是对被标记为server的ip做处理. 在Cidr模式下.用户手动给出server所在的网段.而不像在auto模式下由tcpprep来区分.例: Tcpprep --cidr=/8,/12 --pcap=input.pcap --cachefile=input.cache 在Regex模式下.用户给出能匹配server的正则表达式.例: tcpprep --regex=(10|20)\..* --pcap=input.pcap --cachefile=input.cache 在port模式下,用端口号来区分server 和client.默认情况下,0—1024端口为server端所有.1024以外为client所有.当然.你也可以在自己/etc/services中划分服务器端口.tcpprep --port --services=/etc/services --pcap=input.pcap --cachefile=input.cache在mac模式下.由用户指