网站大量收购独家精品文档,联系QQ:2885784924

tcpreplay使用手冊.doc

  1. 1、本文档共5页,可阅读全部内容。
  2. 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
tcpreplay使用手冊

Tcpreplay的使用手册(结合实例)简介Tcpreplay是一系列工具的总称,包括tcpreplay、tcprewrite和tcpprep等工具,这也是Tcpreplay的第一个字母大写的原因。它用来在Unix系统或类Unix系统上重放网络包。这些包是由tcpdump、ethereal和wireshark等软件抓取到的,即pcap格式的数据包。正因为Tcpreplay有重放数据包的功能,所以它常被用来模拟IDS攻击等测试环境,被广泛地用来测试防火墙和IDS工具的安全性。二.安装方法1.文件下载官方网站下载 HYPERLINK /tcpreplay/tcpreplay-3.3.2.tar.gz?download /tcpreplay/tcpreplay-3.3.2.tar.gz?download2.安装解压文件.[Nsos5 work]# tar -xf tcpreplay-3.3.2.tar.gz进入文件夹.[Nsos5 work]# cd tcpreplay-3.3.2依次键入:./congfigure make make install安装完成后便会多出三个工具,可以依次健入:tcpreplay –V tcpprep –V tcprewrite -V 查看相关版本信息.三.工具集介绍1.tcppreptcpprep用于将pcap数据包分解为客户端和服务器端.Tcpprep所支持的模式:? Auto/Bridge? Auto/Router? Auto/Client? Auto/Server? IPv4 matching CIDR? IPv4 matching Regex? TCP/UDP Port? MAC address在auto/bridge模式下,tcpprep根据clinet和server的行为分析数据包.client行为如下定义:? 发送一个 TCP Syn 包到另外一台主机? 发送一个 DNS 请求? 收到一个 ICMP 端口不可达Server行为如下定义:? 发送一个 TCP Syn/Ack 包到另外一台主机? 发送一个 DNS 应答? 发关一个 ICMP 端口不可达例: tcpprep --auto=bridge --pcap=input.pcap --cachefile=input.cache如果数据包中有任何一个包无法分类.tcpprep将报错.在分类完后,服务器端到客户端的数据包率将被设置为此数据包的数据率,客户端到服务器端的数据率将会是它的两倍.不然.你也可以用ratio参数修改它.ratio对每一种模式都是有效的.例如:tcpprep --auto=bridge --pcap=input.pcap --cachefile=input.cache --ratio=3.5在auto/router模式下,首先是按auto/bridger模式的方法标记出client和server.对于存在那些未标记的主机.通过分析其与其它主机的数据包,将其划分到相同的子网,并标记为与其子网内其它主机相同的标记.例: tcpprep --auto=router --pcap=input.pcap --cachefile=input.cache在auto/client模式下,其分类标准与auto/birdge相同,只不过对于那些被标记为client的IP.其只对ip 的第一个行为做判断,而不是每一次都做判断.例:tcpprep --auto=client --pcap=input.pcap --cachefile=input.cacheauto/server与auto/client相似.不同在于它是对被标记为server的ip做处理.在Cidr模式下.用户手动给出server所在的网段.而不像在auto模式下由tcpprep来区分.例: Tcpprep --cidr=/8,/12 --pcap=input.pcap --cachefile=input.cache在Regex模式下.用户给出能匹配server的正则表达式.例:tcpprep --regex=(10|20)\..* --pcap=input.pcap --cachefile=input.cache在port模式下,用端口号来区分server 和client.默认情况下,0—1024端口为server端所有.1024以外为client所有.当然.你也可以在自己/etc/services中划分服务器端口. tcpprep --port --services=/etc/services --pcap=input.pcap --cachefile=input.cache 在mac模式下.

文档评论(0)

bmdj + 关注
实名认证
内容提供者

该用户很懒,什么也没介绍

1亿VIP精品文档

相关文档