我正在使用 tcpreplay 命令运行一个 1G 大小的 pcap 文件来检查是否存在恶意流量。尽管系统有足够的核心和 RAM,但命令大约需要 5 个多小时。 系统内存:16G 核心:8 PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND 1538 root 20 0 11980 2576 1848 R 100.0 0.0 340:14.65 tcpreplay 4235 root 20 0 41940 ...
我想在 cygwin 中使用 tcpreplay 来重放录制的 pcap 文件,但是结果却非常困难,在 cygwin 环境中构建 tcpreplay 时遇到问题后,现在我需要克服最后的障碍。 我使用这个命令: tcpreplay --intf1="接口名称" recorder.pcap 我尝试了许多可能的“接口名称”,例如以太网 2、“以太网 2”、以太网 2、“\Device\NPF_{4F9C1634-3817-41FF-96A5-5818BEDA9418}”、“以太网适配器以太网 2”等,但都不起作用,总是出现“...无效的接口名称/别名...”...
我是 Stack Exchange 的新手。我正在尝试:我使用以下命令从一台服务器抽取流量:tcpreplay -i ens3 ~/daniel/sipdump.pcap 来自服务器 1 我正在通过 tcpdump -i ens3 -nn 捕获服务器 2 中的流量,我想阻止所有默认使用 5060 作为源或目标的 SIP 流量。 但是 pcap 中的 ip 不是目标 ip:我的服务器 2 ip 不同(192.168.101.5)。当我抽取 pcap 时,ip 不同(源和目标)。 [root@serevr1]# tshark -r outbound_inc...
我有一个包含大量不同数据包的转储文件,但我想有选择地重放所有到给定端口号的 udp 数据包,而不必先编辑转储文件。 如何? ...
我主要在测试 SSL 服务器。我需要捕获客户端 hello,然后使用完全相同的字段值重播相同的客户端 hello。以下是我执行的步骤:1) 使用 wireshark 捕获客户端 hello 2) 导出指定的数据包(TCP 三次握手和客户端 hello)3) 使用 tcpreplay 重播。 数据包被重放,但我没有收到服务器的任何响应。对于一个好的 SSL 服务器来说,这是正常行为吗? 谢谢 ...
我正在尝试将 pcap 文件重播到 HTTP 服务器。在此之前,我正在尝试手动检查我是否正确使用了 tcpreplay。 我已开始netcat -l 12345监听特定端口。我们将其称为“服务器”。在另一台机器上,我已运行tcpdump以捕获所有以文件中的特定端口为目的地的流量dummy.pcap。之后,我在客户端机器上运行 netcat,连接到“服务器”并发送几条消息。我已使用 pcap 检查结果tshark,它显示已捕获数据包。 我再次在服务器上启动了 netcat,并在客户端上启动了 tcpreplay: tcpreplay -d 5 -i et...
我一直在尝试tcpreplay重播我系统上的网络捕获。不幸的是,(来自常问问题): 我可以在运行 tcpreplay 的同一台计算机上发送数据包吗? 一般来说不会。当 tcpreplay 发送数据包时,它会将数据包注入系统的 TCP/IP 堆栈和网卡的设备驱动程序之间。结果是运行 tcpreplay 的 TCP/IP 堆栈系统永远看不到这些数据包。 常见问题解答建议运行虚拟机,但我想避免这样做。有没有其他工具可以让我将信息发送到同一台机器? ...
这听起来可能很奇怪;但我可以在本地机器上除 lo 之外的接口上重播 pcap 文件吗?我想在 eth1 上获取数据包。它现在没有连接到任何链接。我希望数据包进入 eth1 而不是从 eth1 出去。我无法物理访问机器;所以我不能从其他机器插入一条线到 eth1 并用它来播放。 ...
我在系统 A 上运行免费的 Radius 服务器。我正在使用radclient -x systemA acct testing123系统 B 中的 Radiusclient 发送测试会计请求。我可以看到 Radius 服务器从其调试日志中收到了这些请求。 我已使用 将这些计费请求数据包保存在系统 B 中tcpdump -i eth0 portrange 1812-1815 -w rad2.pcap -s 0。现在,当我使用系统 B 中的 tcpreplay 重放这些 pcap 时,radius 服务器没有显示接收这些数据包的迹象,尽管我可以看到数据包已到达...
我遇到了奇怪的虚拟(docker bridges)网络状况 我有两个 docker 通过 docker-compose 连接到同一个网桥。一个 docker 是“probe”,另一个是“injector”。Injector 使用 tcpreplay 重放捕获,而“probe”应该通过 tcpdump 接收它。不用说,重放的捕获与连接到网桥的 NICS 的 IP 或 mac 没有任何关系。主机之间的 ping 工作正常。 现在,docker 自动向主机公开了第三个 NIC。 +--->NIC1 ["injector" docker / us...
我尝试在一台机器上接收多播,将其转发到另一台机器,然后在该机器上重播它。 test_env:可以访问原始多播流的机器 mcast_sender:我尝试将多播转发到该机器并重新从该机器进行多播 到目前为止我已经尝试过: 结合tcpdump,netcat我tcpreplay尝试了以下操作: 在test_env: 我有一个执行 IGMP 加入的 Python 脚本,它永远坐在那里,从套接字读取并丢弃数据(只是保持套接字打开) $ ./mcast_sub INADDR_ANY 239.194.5.1 21001 & 现在,有问题的接口将接...
我目前有以下(大概是标准)设置:我有一台运行 Snort 的物理服务器。Snort 会按应有的方式记录到其日志文件中。这些文件由 barnyard2 跟踪,它会将流量写入 Snorby 的数据库。 Snort 和 barnyard2 作为 systemd 服务启动。现在,除了 Snort 持续分析网络流量之外,我还想每小时从不同的来源读取 pcap 文件,并将我的 Snort 规则应用于这些文件。 幸运的是,snort 直接提供了此功能。但是,使用snort -r foo.pcap会启动一个新的 Snort 实例,这当然会导致一个新的日志文件。Barny...
我正在尝试生成流量并使用 pcap 文件捕获它。我从 CAIDA(caida.org) 站点获取 pcap 文件。此 pcap 文件太大,没有以太网报头。因此,我使用 editcap 将 pcap 文件拆分为小尺寸(40 MB),并使用 tcprewrite 附加以太网报头。我使用 tcpreplay 将 pcap 文件流量从 PC1 发送到 PC2。(PC1 和 PC2 都装有 debian 8 linux)当我从 wireshark 检查接收到的数据包数据时,数据包数量不错,但长度太短。在原始 pcap 文件中,长度超过 1500,但接收到的数据包数据的...
我有几个包含网络流量的 PCAP 文件。为了进行一些网络实验,我需要具有完全随机 IP 地址的真实数据。 我非常清楚 tcprewrite 的可能性,它可以与种子参数一起使用,如下所示: tcprewrite --seed=423 --infile=input.pcap --outfile=output.pcap 根据文档,使用此方法时,主机之间的会话会得到维护。但是,根据可用的数据集,这对我来说并没有提供足够的随机性。例如,假设有一个包含许多数据包的大型 PCAP 文件,但该文件仅包含两个主机之间的流量。使用上述方法随机化此跟踪只是将两个 IP ...
我有一个需要使用 TCP 中继的场景。在着手编写自定义内容之前,我想看看是否有人知道现有的软件可以为我做到这一点。 我有 2 台设备位于不同的网络上,无法互相连接。我们称它们为网络 A 和 B。这些设备需要通信,它们可以通过网络 C 上的“中间人”中继进行通信。A 可以连接到 C,B 可以连接到 C。C 无法连接到 A 或 B。 A -> C <- B 思路如下: A 与 C 建立 TCP 连接并等待 当 B 需要从 A 获得某些东西时,它会与 C 建立 TCP 连接。 C 读取来自 B...