我正在使用像这样的命令行来高速重放一个巨大的 PCAP 文件 - 我正在对以下各个方面进行基准测试tcpreplay: sudo tcpreplay --mbps=1000 --intf1=docker0 linuxbig_log.pcap 由于我不想惹恼我们的系统管理员,我使用我的本地docker安装作为一个存储桶来将所有无效数据倒入其中,但感觉有点像黑客攻击,我的随机数据实际上可能会对docker系统造成一些恶意的影响。 我可以使用tcpreplay-edit并将目标 IP 地址更改为某个黑洞地址,并希望最近的路由器丢弃它们,但我仍然会阻塞其他用户的本...
我使用 tcpdump(在 pcap/pcapng 文件中)捕获本地接口上的流量,并且想使用 Charles/Fiddler 等应用程序来研究它,但随后我必须以某种方式将其引导至其代理。 如何将捕获的流量重播到特定地址和端口?(最好在 macOS 上) ...
我很好奇,是否有熟悉虚拟化的人知道录制模拟机器(QEMU、KVM、VMware)的任何选项,以便当我启动机器时,我使用终端录制自己使用 postfix 包(linux)发送电子邮件的过程。我尝试了以下选项,但没有成功: TcpReplay 和 flowreplay:无法通过与邮件服务器通信所需的 ACK 和 SYN 握手来成功重播。 PANDA.re:遗憾的是,该软件没有虚拟化网卡,因此无法重放与机器外部通信的任何内容 rr 项目:仅记录非确定性过程,无法重播我上面描述的测试。 我听说过 ReVirt 和 ReTrace 等软件,但我不相信普通用户可以使用这...
我正在使用 tcpreplay 命令运行一个 1G 大小的 pcap 文件来检查是否存在恶意流量。尽管系统有足够的核心和 RAM,但命令大约需要 5 个多小时。 系统内存:16G 核心:8 PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND 1538 root 20 0 11980 2576 1848 R 100.0 0.0 340:14.65 tcpreplay 4235 root 20 0 41940 ...
我想在 cygwin 中使用 tcpreplay 来重放录制的 pcap 文件,但是结果却非常困难,在 cygwin 环境中构建 tcpreplay 时遇到问题后,现在我需要克服最后的障碍。 我使用这个命令: tcpreplay --intf1="接口名称" recorder.pcap 我尝试了许多可能的“接口名称”,例如以太网 2、“以太网 2”、以太网 2、“\Device\NPF_{4F9C1634-3817-41FF-96A5-5818BEDA9418}”、“以太网适配器以太网 2”等,但都不起作用,总是出现“...无效的接口名称/别名...”...
我是 Stack Exchange 的新手。我正在尝试:我使用以下命令从一台服务器抽取流量:tcpreplay -i ens3 ~/daniel/sipdump.pcap 来自服务器 1 我正在通过 tcpdump -i ens3 -nn 捕获服务器 2 中的流量,我想阻止所有默认使用 5060 作为源或目标的 SIP 流量。 但是 pcap 中的 ip 不是目标 ip:我的服务器 2 ip 不同(192.168.101.5)。当我抽取 pcap 时,ip 不同(源和目标)。 [root@serevr1]# tshark -r outbound_inc...
我有一个包含大量不同数据包的转储文件,但我想有选择地重放所有到给定端口号的 udp 数据包,而不必先编辑转储文件。 如何? ...
我主要在测试 SSL 服务器。我需要捕获客户端 hello,然后使用完全相同的字段值重播相同的客户端 hello。以下是我执行的步骤:1) 使用 wireshark 捕获客户端 hello 2) 导出指定的数据包(TCP 三次握手和客户端 hello)3) 使用 tcpreplay 重播。 数据包被重放,但我没有收到服务器的任何响应。对于一个好的 SSL 服务器来说,这是正常行为吗? 谢谢 ...
我正在尝试将 pcap 文件重播到 HTTP 服务器。在此之前,我正在尝试手动检查我是否正确使用了 tcpreplay。 我已开始netcat -l 12345监听特定端口。我们将其称为“服务器”。在另一台机器上,我已运行tcpdump以捕获所有以文件中的特定端口为目的地的流量dummy.pcap。之后,我在客户端机器上运行 netcat,连接到“服务器”并发送几条消息。我已使用 pcap 检查结果tshark,它显示已捕获数据包。 我再次在服务器上启动了 netcat,并在客户端上启动了 tcpreplay: tcpreplay -d 5 -i et...
我一直在尝试tcpreplay重播我系统上的网络捕获。不幸的是,(来自常问问题): 我可以在运行 tcpreplay 的同一台计算机上发送数据包吗? 一般来说不会。当 tcpreplay 发送数据包时,它会将数据包注入系统的 TCP/IP 堆栈和网卡的设备驱动程序之间。结果是运行 tcpreplay 的 TCP/IP 堆栈系统永远看不到这些数据包。 常见问题解答建议运行虚拟机,但我想避免这样做。有没有其他工具可以让我将信息发送到同一台机器? ...
这听起来可能很奇怪;但我可以在本地机器上除 lo 之外的接口上重播 pcap 文件吗?我想在 eth1 上获取数据包。它现在没有连接到任何链接。我希望数据包进入 eth1 而不是从 eth1 出去。我无法物理访问机器;所以我不能从其他机器插入一条线到 eth1 并用它来播放。 ...
我在系统 A 上运行免费的 Radius 服务器。我正在使用radclient -x systemA acct testing123系统 B 中的 Radiusclient 发送测试会计请求。我可以看到 Radius 服务器从其调试日志中收到了这些请求。 我已使用 将这些计费请求数据包保存在系统 B 中tcpdump -i eth0 portrange 1812-1815 -w rad2.pcap -s 0。现在,当我使用系统 B 中的 tcpreplay 重放这些 pcap 时,radius 服务器没有显示接收这些数据包的迹象,尽管我可以看到数据包已到达...
我遇到了奇怪的虚拟(docker bridges)网络状况 我有两个 docker 通过 docker-compose 连接到同一个网桥。一个 docker 是“probe”,另一个是“injector”。Injector 使用 tcpreplay 重放捕获,而“probe”应该通过 tcpdump 接收它。不用说,重放的捕获与连接到网桥的 NICS 的 IP 或 mac 没有任何关系。主机之间的 ping 工作正常。 现在,docker 自动向主机公开了第三个 NIC。 +--->NIC1 ["injector" docker / us...
我尝试在一台机器上接收多播,将其转发到另一台机器,然后在该机器上重播它。 test_env:可以访问原始多播流的机器 mcast_sender:我尝试将多播转发到该机器并重新从该机器进行多播 到目前为止我已经尝试过: 结合tcpdump,netcat我tcpreplay尝试了以下操作: 在test_env: 我有一个执行 IGMP 加入的 Python 脚本,它永远坐在那里,从套接字读取并丢弃数据(只是保持套接字打开) $ ./mcast_sub INADDR_ANY 239.194.5.1 21001 & 现在,有问题的接口将接...
我目前有以下(大概是标准)设置:我有一台运行 Snort 的物理服务器。Snort 会按应有的方式记录到其日志文件中。这些文件由 barnyard2 跟踪,它会将流量写入 Snorby 的数据库。 Snort 和 barnyard2 作为 systemd 服务启动。现在,除了 Snort 持续分析网络流量之外,我还想每小时从不同的来源读取 pcap 文件,并将我的 Snort 规则应用于这些文件。 幸运的是,snort 直接提供了此功能。但是,使用snort -r foo.pcap会启动一个新的 Snort 实例,这当然会导致一个新的日志文件。Barny...