Tcpdump配合Tcpreplay回放实现网络探测

最新推荐文章于 2024-04-27 15:05:51 发布
最新推荐文章于 2024-04-27 15:05:51 发布
阅读量2.4k 收藏
点赞数
文章标签: 网络 printing 服务器 processing file centos

序言

  • 实际上,这个需求来自IT的监控,监控的根本目标是随时发现局域网内的非法DHCP服务器,以报警。
  • 实现的具体策略:找一台机器,每分钟跑一次cron,执行检查并在出错时报警(邮件或者短信)。具体的核心策略是:模拟广播DHCP DISCOVER包,在规定时间内给出DHCP REPLY的就是当前有效的DHCP服务器,假设我们局域网内唯一合法的DHCP是192.168.1.1,当给出REPLY的主机列表中没有192.168.1.1或者又其他的主机回复时,那就报警。整个策略的关键问题其实就是模拟广播DHCP DISCOVER包,其他的问题都很容易做。
  • 前提,不得不说,对于网络编程和C的libnet等库的理解非常少,所以首选的做法不是编写程序,而是打算找一个现成的发包工具。当然,现在想来如果使用Perl的库来做这件事情似乎也并不难,只不过还没打算用这个办法,事情就已经解决了 smile
  • 为了避免说明有误解,我先把自己的测试环境说明一下:
	OS CentOS 4.7

	Tcpdump rpm tcpdump-3.8.2-12.el4_6.1
		tcpdump version 3.8
		libpcap version 0.8.3

	Tcpreplay rpm tcpreplay-3.3.2-1.el4.rf
		tcpreplay version: 3.3.2 (build 2065)
		Copyright 2001-2008 by Aaron Turner 
		Cache file supported: 04
		Not compiled with libnet.
		Compiled against libpcap: 0.8.3
		64 bit packet counters: enabled
		Verbose printing via tcpdump: disabled
		Packet editing: enabled
		Fragroute engine: enabled

DHCP扫盲

尝试过程

  • 首先我们需要了解自己发送的包应该长成什么样子,最直接的思路就是tcpdump或者wireshark(升级版ethereal) 抓l来看看
# 这里是两个工具的抓包命令详解,当然,这里我们只简单介绍一下我们用到的几个参数
shell> tcpdump -s0 -vv -e -i eth0 -nn port 67 -c 100 -w yfang.cap
#    -e: 打印连接层信息
#    -vv: 打印详细信息
#    -i eth0: 监听eth0网卡
#    -nn:保留输出中的端口和协议使用数字格式
#    -c 100:抓取满足条件的100个包,结束。否则会一直抓下去
#    -s0: 这个参数对我们这次实验起着非常重要的作用,-s0表明不对包的尺寸进行裁剪,保持原来大小
#    port 67: 不用多解释,因为DHCP协议主要是客户端与服务器端的67和68两个端口的信息交互
#    -w yfang.cap: tcpdump默认把截获的包以文字形式输出到标准输出,-w参数强制按照cap格式输出到文件yfang.cap,用于后面我们replay

shell> wireshark
# 这个不用解释了,简单说一下,对于wireshark-gnome-1.0.3,filter格式会类似于“udp.port == 67”,而不支持以前的版本ethereal中 “port 67”这样的格式
# 另外一个问题,使用wireshark抓到很多包,如果想要保存其中选中的包,正解是:File->Save As->Selected packet only->写好文件名,保存就好了
  • 上面的命令是没有问题的,而在实验中开始没有加-s0参数,结果只截取到了一个不完整的包,导致后面replay失败。
  • 这里描述一下replay受挫详细过程
#首先截获一个DHCP包,注意,没有加-s0参数
root@S71[1]~15:28:04# tcpdump -e -i eth0 -nn port 67 -c 1 -w yfang.cap

#接下来replay这个包,不做任何修改,这里只用了两个参数 -i eth0不解释了,-l 3表示连续发这个包3次,其实测试的话,发一次也OK
root@S71[1]~15:28:14# tcpreplay -i eth0 -l 3 yfang.cap
sending out eth0
processing file: yfang.cap
processing file: yfang.cap
processing file: yfang.cap
Actual: 3 packets (288 bytes) sent in 0.23 seconds
Rated: 12007.5 bps, 0.09 Mbps/sec, 125.08 pps

Statistics for network device: eth0
        Attempted packets:         3
        Successful packets:        3
        Failed packets:            0
        Retried packets (ENOBUFS): 0
        Retried packets (EAGAIN):  0

# 花开两支,在刚才那个命令执行之前,先在另一台服务器S172上(其实同一台也OK,为的是表明局域网其他机器可以看到包)监听包
[root@S172 ~]# tcpdump -i eth0 port 67 -c 10
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
15:28:16.023336 IP truncated-ip - 279 bytes missing! 0.0.0.0.bootpc > 255.255.255.255.bootps: BOOTP/DHCP, Request from 00:1b:77:59:ed:d2, length: 333
15:29:14.583293 IP truncated-ip - 279 bytes missing! 0.0.0.0.bootpc > 255.255.255.255.bootps: BOOTP/DHCP, Request from 00:1b:77:59:ed:d2, length: 333
15:29:14.591208 IP truncated-ip - 279 bytes missing! 0.0.0.0.bootpc > 255.255.255.255.bootps: BOOTP/DHCP, Request from 00:1b:77:59:ed:d2, length: 333

# 我们注意到后面三行,三个奇怪的包,被truncate过了,这一点使用wireshark打开cap文件查看包的信息会看到下面这样的警告
# [Packet size limited during capture: BOOTP/DHCP truncated] 
# 经过检查发现是-s参数的作用,加上-s0参数就好了
  • 现在我们已经知道怎么抓包了,如何简单区分DHCP各个包的具体信息呢,其实这一点上我个人推荐使用wireshark来分析,他不单会帮你抓好包,还会标明DHCP的标志信息,比如是DISCOVER,REQUEST,ACK,OFFER 等等。不用自己去分析标志位。即便如此,这里还是为感兴趣的朋友列一下DHCP Massage Type 的区别
DHCP Massage Type Value
DHCP DISCOVER01
DHCP OFFER02
DHCP REQUST03
DHCP ACK05
DHCP INFORM08

cchao
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
tcpreplay发包工具
03-21
tcp发包工具,运行sudo ./autogen.sh编译,需要lpcap库支持。可以用来发包,测试网络负载等
发包工具tcpreplay.rar
07-11
Tcpreplay是一系列工具的总称,包括tcpreplay、tcprewrite和tcpprep等工具,它可以用来在Unix系统或者linux系统上重放网络包。这些包是由tcpdump、ethereal和wireshark等软件抓取到的,即pcap格式的数据包。包含两个库文件
银河麒麟v10服务器tcpreplay
12-25
银河麒麟v10服务器tcpreplay可执行二进制文件
tcpreplay命令 性能或功能测试
01-09
tcpreplay 是一种pcap包的重放工具,它可以将用ethreal、wireshark工具抓下来的包原样或经过任意修改后重放回去。它允许你对报文做任意的修改(主要是指对2层、3层、4层报文头),指定重放报文的速度等,这样tcpreplay就可以用来复现抓包的情景以定位bug,以极快的速度重放从而实现压力测试。 语法格式:tcpreplay [参数] [文件] 常用参数: -A -vA “nnt”表示以tcpdump风格输出报文信息,并且不打印时间戳、主机名、端口服务名称。注意不要使用-c参数来指定打印的数据报文的个数,这样发送出去的报文也会变少 -c 双网卡回放报文必选参
tcpreplay-4.3.3-1.el7.x86_64.rpm
02-22
unix packet test rpm
Tcpdump配合Tcpreplay回放实现网络
nuoline的专栏
02-25 1621
实际上,这个需求来自IT的监控,监控的根本目标是随时发现局域网内的非法DHCP服务器,以报警。 实现的具体策略:找一台机器,每分钟跑一次cron,执行检查并在出错时报警(邮件或者短信)。具体的核心策略是:模拟广播DHCP DISCOVER包,在规定时间内给出DHCP REPLY的就是当前有效的DHCP服务器,假设我们局域网内唯一合法的DHCP是192.168.1.1,当给出REPLY的主机列表
Linux Tcpdump 详解
米菲的泰迪
12-21 5003
Content-type: text/html TCPDUMP Section: User Commands (1) Updated: 05 March 2009 Index Return to Main Contents   NAME tcpdump - dump traffic on a network   SYNOPSIS tcpdump [ -AdDe
tcpdump(四)保存、回放、流量
清风扬
04-10 4583
流量保存与回放 做过网络流量分析的朋友,或许都有一个共同的需求,那就是都要做"流量保存"和"流量回放"。 流量保存:把抓到的网络包存储到磁盘上,保存下来,为以后使用。 流量回放:把历史上的某一时刻段的流量,重新模拟回放出来,用于流量分析。 -w 选项:将流量保存到文件 [root@test ~]# tcpdump -i ens39 -w tcp.txt tcpdump: list...
tcpdump抓包,然后使用tcpreplay进行回放,出现了一些问题,目前找不到答案,暂时先记录在这里
lengye7的博客
05-05 5275
我在使用tcpdump抓包后,然后将一部分数据包使用tcpreplay进行回放 对比原包和回放的包,我发现某些回放的包在帧尾会多出6个字节的0,这个简直匪夷所思,先记录下来,以后有时间再细细研究。 如果有知道的朋友,请留言,或者大家一起探讨也好,是由于文件格式问题还是由于什么问题。
Tcpcopy tcpdump 流量离线回放
忆网
04-05 8393
简单来说,就是用tcpdump记录线上请求,用tcpcopy来重放,如下图所示: 上篇叙述了流量拷贝,在此不再赘述(TcpCopy复制流量) 一、分别在服务端和客户端安装 tcpcopy intercept 注:根据新旧框架,自行使用具体框架应用几台机器 安装过程如遇到问题:“can't find pcap.h”(网卡流量监控软件),需要安装libpcap-devel ...
tcp抓包工具,tcpdump
04-21
tcp抓包工具,tcpdump
Centos安装TCPReplay-附件资源
03-05
Centos安装TCPReplay-附件资源
pcap包回放的简要说明
09-09
pcap包回放的简要说明
Tcpreplay安装使用(转)
qq_37451326的博客
03-08 6656
一.Tcpreplay功能简介 首先推荐一个网站:Syn Fin dot Net | Streaming Thoughts from Syn to Fin,上面有Tcpreplay的安装包和很多文档,包括手册、man页和FAQ等。 Tcpreplay是一系列工具的总称,包括tcpreplay、tcprewrite和tcpprep等工具,它可以用来在Unix系统或者linux系统上重放网络包。这些包是由tcpdump、ethereal和wireshark等软件抓取到的,即pcap格式的数据包。 安装T.
【错误】tcpreplay: Symbol `pcap_version‘ has different size in shared object, consider re-linking
qq_39057568的博客
01-15 465
tcpreplay: Symbol `pcap_version' has different size in shared object, consider re-linking
tcpreplay 快速入门使用
浴血重生-学习空间
04-02 4216
TCPREPLAY tcpreplay是一系列工具的集合。包括(tcpprep、tcprewrite、tcpreplay和tcpbridge) 其tcpreplay是真正实现流量回放功能的工具,其他几个工具可以看作tapreplay的辅助工具,作为流量重放前期的准备工作,比如 tcpprep可以划分哪些包是client的, 哪些是server的, 一会发包的时候client的包从一个网卡发, s...
tcpreplay和tcpdump的理解和使用
dengyc94的博客
11-07 966
1、tcpdump是linux系统常用的抓包工具 常见的表达式如下: tcpdump -i eth0 -s 0 -v -w syslog.pcap port 514 -i interface:指定tcpdump需要监听的接口。默认会抓取第一个网络接口 -s len:设置tcpdump的数据包抓取长度为len,如果不设置默认将会是65535字节。对于要抓取的数据包较大时,长度设置不够可能会...
Linux 下Tcpreplay 回放tcprewrite改包、Tcpdump抓包 使用记录
Reality
06-21 3862
tcreplay回放tcprewrite修改报文、tcpdump抓包使用记录
网络安全与密码学
最新发布
weixin_61074128的博客
04-27 407
一、密码学是一门研究信息安全保密的学科,主要涉及对信息进行加密、解密以及相关的安全技术和理论。它通过使用各种加密算法和技术,将明文信息转换为密文,以确保信息在传输和存储过程的保密性、完整性和真实性。密码学在通信、电子商务、金融、军事等领域都有着广泛的应用。密码学包括对称加密、非对称加密、哈希函数、数字签名等重要内容。同时,密码学也在不断发展和创新,以应对不断变化的安全挑战。大家要注意的是我们平时用来认证身份的密码(passwd)翻译成口令更准确。
tcpdump补货tcp协议
06-10
tcpdump 是一种基于命令行的网络抓包工具,可以捕获和分析网络数据包。它支持多种协议,其包括 TCP 协议。使用 tcpdump 抓取 TCP 数据包时,需要使用一些特定的过滤器指定要捕获的数据包类型和条件。 以下是一些 tcpdump 命令行过滤器示例,用于捕获 TCP 数据包: 1. 捕获所有 TCP 数据包: ``` tcpdump tcp ``` 2. 捕获某个 IP 地址的 TCP 数据包: ``` tcpdump tcp host <ip_address> ``` 3. 捕获某个端口的 TCP 数据包: ``` tcpdump tcp port <port_number> ``` 4. 捕获源地址和目标地址均为特定 IP 的 TCP 数据包: ``` tcpdump tcp src <source_ip> and dst <destination_ip> ``` 5. 捕获指定源端口和目标端口的 TCP 数据包: ``` tcpdump tcp src port <source_port> and dst port <destination_port> ``` 这些过滤器可以根据需要进行自定义,以捕获特定类型和条件的 TCP 数据包。在捕获数据包后,可以使用 tcpdump 的其他选项和参数来分析和处理数据包。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值