我有一个 wireshark 记录的 pcap 文件,同一网络中的两台机器(m1 和 m2),
首先我曾经bittwiste.exe改变该 pcap 中的所有数据包以使其具有不同的源(m1_ip)/目标(m2_ip):
C:\Windows\System32\bittwiste.exe -I packets.pcap -O packetsModified.pcap -T ip -s 192.168.1.104,m1_ip -d 192.168.1.31,m2_ip
然后使用bittwist.exe找出m1中的网络接口:
C:\Users\pete\Documents\tmp>C:\Windows\System32\bittwist.exe -d
1.\Device\NPF_{4F9C1634-3817-41FF-96A5-5818BEDA9418} (英特尔(R) PRO/1000 MT 网络连接)
然后使用bittwist.exe将修改后的数据包发送到 m1 中的该接口:
C:\Users\pete\Documents\tmp>C:\Windows\System32\bittwist.exe -i 1 -m 0.001 packetsModified.pcap
在 m1 和 m2 中,我都运行 wireshark 来捕获流量(使用和不使用过滤器来缩小相关数据包的范围),但我只能看到 m1 的 wireshark 中出现带有src m1_ip/ 的数据包dst m2_ip,而看不到 m2 的数据包,我不明白为什么数据包似乎没有从 m1 到达 m2。
如果我m2_ip从 m1 ping,我可以看到回复和 ICMP 数据包出现在 m1 和 m2 的 wireshark 中。m1 和 m2 中的防火墙都已关闭。有人知道吗?
答案1
我现在可以自己回答了,是的,我需要用 bittwiste 修改录制的 pcap 文件的 MAC 地址和 IP 地址。之后,录制的 pcap 可以通过 bittwist 或 tcpreplay 等工具重放