tcpreplay使用手冊.doc

Tcpreplay的使用手册(结合实例)简介Tcpreplay是一系列工具的总称，包括tcpreplay、tcprewrite和tcpprep等工具，这也是Tcpreplay的第一个字母大写的原因。它用来在Unix系统或类Unix系统上重放网络包。这些包是由tcpdump、ethereal和wireshark等软件抓取到的，即pcap格式的数据包。正因为Tcpreplay有重放数据包的功能，所以它常被用来模拟IDS攻击等测试环境，被广泛地用来测试防火墙和IDS工具的安全性。二.安装方法1.文件下载官方网站下载 HYPERLINK /tcpreplay/tcpreplay-3.3.2.tar.gz?download /tcpreplay/tcpreplay-3.3.2.tar.gz?download2.安装解压文件.[Nsos5 work]# tar -xf tcpreplay-3.3.2.tar.gz进入文件夹.[Nsos5 work]# cd tcpreplay-3.3.2依次键入:./congfigure make make install安装完成后便会多出三个工具,可以依次健入:tcpreplay –V tcpprep –V tcprewrite -V 查看相关版本信息.三.工具集介绍1.tcppreptcpprep用于将pcap数据包分解为客户端和服务器端.Tcpprep所支持的模式:? Auto/Bridge? Auto/Router? Auto/Client? Auto/Server? IPv4 matching CIDR? IPv4 matching Regex? TCP/UDP Port? MAC address在auto/bridge模式下,tcpprep根据clinet和server的行为分析数据包.client行为如下定义:? 发送一个 TCP Syn 包到另外一台主机? 发送一个 DNS 请求? 收到一个 ICMP 端口不可达Server行为如下定义:? 发送一个 TCP Syn/Ack 包到另外一台主机? 发送一个 DNS 应答? 发关一个 ICMP 端口不可达例: tcpprep --auto=bridge --pcap=input.pcap --cachefile=input.cache如果数据包中有任何一个包无法分类.tcpprep将报错.在分类完后,服务器端到客户端的数据包率将被设置为此数据包的数据率,客户端到服务器端的数据率将会是它的两倍.不然.你也可以用ratio参数修改它.ratio对每一种模式都是有效的.例如:tcpprep --auto=bridge --pcap=input.pcap --cachefile=input.cache --ratio=3.5在auto/router模式下,首先是按auto/bridger模式的方法标记出client和server.对于存在那些未标记的主机.通过分析其与其它主机的数据包,将其划分到相同的子网,并标记为与其子网内其它主机相同的标记.例: tcpprep --auto=router --pcap=input.pcap --cachefile=input.cache在auto/client模式下,其分类标准与auto/birdge相同,只不过对于那些被标记为client的IP.其只对ip 的第一个行为做判断,而不是每一次都做判断.例:tcpprep --auto=client --pcap=input.pcap --cachefile=input.cacheauto/server与auto/client相似.不同在于它是对被标记为server的ip做处理.在Cidr模式下.用户手动给出server所在的网段.而不像在auto模式下由tcpprep来区分.例: Tcpprep --cidr=/8,/12 --pcap=input.pcap --cachefile=input.cache在Regex模式下.用户给出能匹配server的正则表达式.例:tcpprep --regex=(10|20)\..* --pcap=input.pcap --cachefile=input.cache在port模式下,用端口号来区分server 和client.默认情况下,0—1024端口为server端所有.1024以外为client所有.当然.你也可以在自己/etc/services中划分服务器端口.tcpprep --port --services=/etc/services --pcap=input.pcap --cachefile=input.cache在mac模式下.