tcpreplay命令行的认识.doc

Tcpreplay help [转] 2008年05月22日 星期四 下午 01:46 引自:/r007/blog/item/508e80810a18f2.html 工具的名称就能猜到工具的作用，就是重放TCP的报文，但是这个工具究竟功能如何，是不是仅仅局限于在一个网卡上回放报文，这篇说明书主要介绍tcprelay的一些与测试有关的使用，在介绍tcpreplay命令的使用之前，先要介绍与之密切相关的一个命令：tcpprep，中文直译就是tcp准备的意思，它的作用可以参见官方网站的介绍说明： tcpprep is the pcap pre-processor for tcpreplay and tcprewrite. The purpose of tcpprep is to create a cache file which is used to split traffic into two sides (often called primary/secondary or client/server). If you are intending to use tcpreplay with two NICs, then tcpprep is what decides which interface each packet will use. By using a seperate process to generate cache files, tcpreplay can send packets at a much higher rate then if it had to do the calculations to split traffic itself. 个人翻译：（建议大家看man文件，阅读3次就能够比较好的理解了） P:list - Must be one of the listed packets where the list corresponds to the packet number in the capture file. Ex: -xP:1-5,9,15 would only send packets 1 through 5, 9 and 15.根据参数后的参数值（报文编号）发送指定的报文。可以在ethereal中确认报文的编号，然后把需要的报文发送。可以用于排除ARP报文。F:filter - BPF filter. See the tcpdump(8) man page for syntax.未知，以后补充。-X match Send all the packets except those specified可选参数，就是-x参数的取反，参数内容也是一样。-v Verbose可选参数，显示trpprep生成cache文件的处理过程，就是一些信息的即时打印。-V Version显示版本号。Tcpprep使用小结再构造cache文件的过程中我用的比较多的选项参数就-v、-P、-xB、-xP，一般都是client和server的模式，其它两种模式没有实验过，暂时还不知道怎么使用，bridge模式我使用过一次，结果发现报文是从一个网卡送出。对于tcp和udp协议都做了测试，是可以支持的，icmp还没有成功。对于网络上的BT报文，只要你有pcap文件，也是可以构造cache文件来模拟完全真实的BT流量。目前的使用就是这么多，感觉还是很有用的，tcpreplay的参数有一部分是和tcpprep重复，下面的帮助文件说明就不详细说明了，但是特殊有好用 的参数会使用蓝色字体标记出来给予重视。存在的不足是还没有学会在nat模式下重放报文，现在所有的报文重放都是在透明模式下完成的。Tcpreplay帮助文件说明Usage: tcpreplay [args] file(s)-A args Pass arguments to tcpdump decoder (use w/ -v)可选参数，在使用tcpdump风格打印输出信息时，同时再调用tcpdump中的参数，默认已经带有“-n,-l”，所以一般看到的都是ip地址，而没 有主机名的打印，注意这个是在tcpreplay使用了-v参数时，才能使用，不带-v不会报错，但是没有实际意义。格式：-vA “nnt”表示以tcpdump风格输出报文信息，并且不打印时间戳、主机名、端口服务名称。注意不要使用-c参数来指定打印的数据报文的个数，这样发送 出去的报文也会变少。-b Bridge two broadcast domains in sniffer mode可选参数，没有用过-c