linux下網絡發包工具

第1章.     說明

本文檔只適用於Tcpreplay3.x。

第2章.     Tcpreplay系列工具

2.1. 概述

首先推薦一個網站：http://tcpreplay.synfin.net/，上面有Tcpreplay的安裝包和很多文檔，包括手冊、man頁和FAQ等。本文也是在參考這個網站的基礎上，通過一些實驗而得出的。

Tcpreplay是一系列工具的總稱，包括tcpreplay、tcprewrite和tcpprep等工具，這也是Tcpreplay的第一個字母大寫的原因。它用來在Unix系統或類Unix系統上重放網絡包。這些包是由tcpdump、ethereal和wireshark等軟件抓取到的，即pcap格式的數據包。

正因為Tcpreplay有重放數據包的功能，所以它常被用來模擬IDS攻擊等測試環境，被廣泛地用來測試防火牆和IDS工具的安全性。

2.2. 功能

安裝Tcpreplay包時，默認情況下是安裝了如表1所示的這些工具的。表 1還給出了各個工具的功能。

工具	功能
tcpreplay	重發pcap文件中的數據包。
tcprewrite	改寫pcap數據包的2-4層的頭部信息，即MAC地址、IP地址和PORT等。
tcpprep	區分pcap數據包的流向，即區分出客戶端和服務器。

表 1 Tcpreplay系列工具的功能

2.3. 各工具的組合

從表1可以看出tcpreplay負責發送數據包，tcprewrite用來改寫數據包，tcpprep用來區分客戶端和服務器。

1)        因為數據包中的內容都是雙向的（客戶端->服務器，服務器->客戶端），tcprewrite改寫數據，tcpreplay發送數據包時都應該區分方向（即區分客戶端和服務器），因此這兩個工具一般是工作在tcpprep的基礎上的。

2)        tcpreplay可以發送任意pcap數據包，如果它想改變發送內容，就必須先用tcprewrite來改寫數據包，然后再發送改寫后的數據包。

2.4. 補充說明

Tcpreplay2.x中的tcpreplay將區分客戶端和服務器、改寫數據包，發送數據包等功能都集成在一起。Tcpreplay3.x為了設計的簡單和使用的方便性而做了上述的改進。

第3章.     Tcpreplay的安裝、配置

3.1. 相關的准備

Tcpreplay要實現它的功能要用到其它一些庫。

1)        libpcap庫。libpcap庫是推薦而且幾乎是必須的。Tcpreplay用它來發送數據包。請下載安裝libpcap0.7.2及以上版本。

2)        tcpdump。強烈推薦但不是必需的一個工具。Tcpreplay用它來解碼數據包，而且我們也可以用它的抓包功能來配合Tcpreplay的使用。當然，ethereal等軟件也可以實現這樣的功能，但tcpdump無疑是性價比最高的。

3)        libnet庫。不推薦的一個庫。Tcpreplay也可用它來發送數據包，但由於libnet自身的bug比較多且已不再有人維護，Tcpreplay未來版本有可能取消對它的支持。

更詳細的說明請參看http://tcpreplay.synfin.net/上的相關內容

3.2. 安裝步驟

首先，下載安裝包。Tcpreplay的源碼安裝包可以在http://tcpreplay.synfin.net/上下載到。

然后解壓安裝包。假設安裝包名字為tcpreplay-3.3.0.tar.gz，所在的目錄為/urs/local/src，所用的操作系統為redhat9，解壓安裝包可以直接輸入“tar –xzvf tcpreplay-3.3.0.tar.gz”。

進入解壓后的文件夾。輸入指令“cd tcpreplay-3.3.0”。

遵循一般的軟件安裝步驟，如下所示。

$./configure

$make      

$make install

上面是最簡化的安裝。如果你還有其它安裝和配置需求，請查看安裝包中的INSTALL和README文檔。

第4章.     Tcpreplay的使用

本部分將結合一個實例來講解。先說明一下這個實例的運行環境和測試思路。本實例采用的是tcpreplay-3.3.0，運行在遠程linux服務器上，用來發送http.pcap中的內容，同時在服務器上我用tcpdump來抓取tcpreplay發出的包；在本地windows中我用wireshark（ethereal的增強版本）來觀察從服務器上下載過來的各種數據包（即tcpdump抓取到的包、tcprewrite修改后的包，這些包是通過ftp或ssh下載過來的）。

4.1. 指令風格簡介

Tcpreplay系列工具的指令風格一致，都比較簡潔。你可以鍵入“man tcpreplay”或“tcpreplay -h”類似指令來查得相關幫助。下面的講述以tcpreplay為例。

指令的選項分簡短的和完整兩種形式。如查詢版本的簡短選項是“-V”，完整形式則是“--version”。

有的選項帶有參數，而且兩種選項的輸入參數的形式不同。如以緩存文件選項為例，對於簡短選項，形式是“-c pathname”；對於完整選項，形式是“--cachefile=pathname”。pathname是緩存文件的路徑。

4.2. 區分客戶端和服務器

輸入如下指令。

$tcpprep –-port –cachefile=cache_test.cache --pcap=http.pcap

tcpprep的詳細使用請參看相關手冊（如man手冊）。

--port是指tcpprep用port-split模式來區分客戶端和服務器。在這種模式下，所有目的端口<1024的，將被視作客戶端－>服務器的包，否則視為服務器->客戶端的包。tcppgrep有auto，cidr，regex，port和mac等多種模式，各種模式的詳細情況請查看相關手冊（如man手冊）。

--pcap=http.pcap是指tcpprep處理的是http.pcap這個文件。

--cachefile=cache_test_cache是指tcpgrep處理后的信息存放在cache_test_cahe這個文件中。這個文件在tcprewrite和tcpreplay中將用到。

整個指令的意思就是采用port-spllit模式來處理http.pcap文件（區分http.pcap中的客戶端和服務器），然后將處理結果存到cache_test_cache文件中。

4.3. 改寫數據包的的內容

輸入如下指令。

$tcprewrite --endpoints=192.168.0.1:192.168.0.2 --cachefile=cache_test.cache \

--infile=http.pcap --outfile=http_rewrite.pcap

tcprewrite的詳細使用請參看相關手冊（如man手冊）。

--endpoints=192.168.0.1:192.168.0.2是指將客戶端ip修改為192.168.0.1，將服務器ip修改為192.168.88.0.2，注意3.x版本的Tcpreplay自動地將IP的校驗和修改好。用wireshark查看http_rewrite.pcap可以得到這個修改結果。

--cachefile=cache_test_cache是指tcprewrite用tcpprep 上步的處理結果——cache_test.cache來區分方向。

--infile=http.pcap是指要處理的pcap文件是http.pcap。

--outfile=http_rewrite_pcap是指處理結果存在http_rewrite_pcap文件中。這個文件將是tcpreplay發送數據包的來源。

4.4. 發送數據包

輸入如下指令。

$tcpreplay –intf1=eth0 –intf2=eth0 –t –cachefile=cache_test.cache http_rewrite_pcap

tcpreplay的詳細使用請參看相關手冊（如man手冊）。

--intf1=eth0是指主接口是eth0，客戶端－>服務器的數據包通過這個接口發送。服務器和客戶端的區分是從tcpprep的處理結果cache_test.cache中得到的。

--intf2=eth0是指從接口是eth0，服務器－>客戶端的數據包通過這個接口發送。

--cachefile=cache_test_cache是指tcpreplay用tcpprep 上步的處理結果——cache_test.cache來區分方向。

http_rewrite.pcap是指tcpreplay發送的是來自http_rewrite.pcap這個文件中的數據包。

4.5. 合理使用tcpdump

我們可以合理地使用tcpdump來配合tcpreplay的使用。舉兩個例子。

4.5.1. 抓包

用tcpdump 抓取tcpreplay在eth0端口發出的tcp包，並要求這些包的目的地址是192.168.0.2，可輸入如下的指令。

tcpdump –i eth0 –w tcpdump.pcap –s 0 '(tcp and (dst host 192.168.0.2) ) '

-w tcpdump.pcap是指將抓取到的包存到tcpdump.pcap這個文件中，-s 0是指盡可能大的抓取每個包（盡量不截斷），最后面的單引號里的內容是過濾規則。

4.5.2. 選包

又如你只想把test.pcap文件中端口號為80的tcp包（http包）提取出來，再轉交給tcpreplay去發送，可以這樣做。

$ tcpdump -r test.pcap -w http_only.pcap –s 0 tcp port 80

-r test.pcap是指從test.pcap中讀包。這個指令的意思是從test.pcap中讀包后，根據“tcp port 80”這個過濾規則篩選出滿足要求的包，將這些包存到http_only.pcap這個文件中去。

此后我們就可以用tcpreplay來發送http_only.pcap中的http包了。

4.6. TCPReplay使用

TCPReplay主要功能是將PCAP包重新發送，用於性能或者功能測試。但是在測試環境與原轉包系統結構一般是不同的。比如被測試機的二層MAC地址與抓包機器的MAC不同，所以被測試機在二層處理時發現目的MAC不是自己，就會把packet丟棄。協議棧把目的MAC與本機的MAC匹配，才會將packet交給上層處理。為了實現測試，需要使用TCPReplay的兩個配套工具，TCPPrep和TCPRewrite。這兩個工具和TCPReplay的詳細用法可以通過MAN來查詢，這里不再細講。此處通過一個經過測試的實例來介紹他們的用法。

測試拓撲圖如下圖所示
其中TCPReplay機器的配置為：
OS： Ubuntu9.04
內核版本：2.6.28
TCPReplay版本：3.3.2（不同版本命令可能稍有不同，具體請通過MAN查詢）
網卡：Intel e1000e 雙千兆
PCAP文件：test.tcpdump

測試第一步：預處理生成Cache,命令為
tcpprep -a client -i test.tcpdump -o test.cache

這條命令將PCAP文件分成客戶端和服務端，默認為客戶端。發送時packet將分別從客戶端和服務端發出。

測試第二步：重寫IP地址和MAC地址，命令為：
tcprewrite -e 192.85.1.2:192.85.2.2 --enet-dmac=00:15:17:2b:ca:14,00:15:17:2b:ca:15 --enet-smac=00:10:f3:19:79:86,00:10:f3:19:79:87 -c test.cache -i test.tcpdump -o 1.pcap

這條命令將eth0設為服務端接口，eth1設為客戶端接口，重寫了IP和MAC,可通過wireshark等工具打開1.pcap，查看修改是否成功。

測試第三步：重放packet，首先為了獲取更高的發送速度，可以把文件放到/dev/shm目錄下，最高速度有1倍左右的加速。重放命令為：
tcpreplay -i eth0 -I eth1 -l 1000 -t -c /dev/shm/test.cache /dev/shm/1.pcap

這條命令將文件以最高速率循環發送1000次。


上述步驟通過測試，保證能夠通過。