Tcpdump配合Tcpreplay回放实现网络探测

最新推荐文章于 2022-03-18 02:30:53 发布
最新推荐文章于 2022-03-18 02:30:53 发布
阅读量282 收藏
点赞数
文章标签: php
原文链接:https://yq.aliyun.com/articles/547024
版权

  • 实际上,这个需求来自IT的监控,监控的根本目标是随时发现局域网内的非法DHCP服务器,以报警。

  • 实现的具体策略:找一台机器,每分钟跑一次cron,执行检查并在出错时报警(邮件或者短信)。具体的核心策略是:模拟广播DHCP DISCOVER包,在规定时间内给出DHCP REPLY的就是当前有效的DHCP服务器,假设我们局域网内唯一合法的DHCP是192.168.1.1,当给出REPLY的主机列表中没有 192.168.1.1或者又其他的主机回复时,那就报警。整个策略的关键问题其实就是模拟广播DHCP DISCOVER包,其他的问题都很容易做。

  • 前提,不得不说,对于网络编程和C的libnet等库的理解非常少,所以首选的做法不是编写程序,而是打算找一个现成的发包工具。当然,现在想来如果使用 Perl的库来做这件事情似乎也并不难,只不过还没打算用这个办法,事情就已经解决了 smile

  • 为了避免说明有误解,我先把自己的测试环境说明一下:

 OS CentOS 4.7 Tcpdump rpm tcpdump-3.8.2-12.el4_6.1 tcpdump version 3.8 libpcap version 0.8.3 Tcpreplay rpm tcpreplay-3.3.2-1.el4.rf tcpreplay version: 3.3.2 (build 2065) Copyright 2001-2008 by Aaron Turner Cache file supported: 04 Not compiled with libnet. Compiled against libpcap: 0.8.3 64 bit packet counters: enabled Verbose printing via tcpdump: disabled Packet editing: enabled Fragroute engine: enabled

 

DHCP扫盲

 

 

尝试过程

  • 首先我们需要了解自己发送的包应该长成什么样子,最直接的思路就是tcpdump或者wireshark(升级版ethereal) 抓l来看看

 shell> tcpdump -s0 -vv   eth0 -nn port 67  100  yfang.cap  
 
 
  
   
  
  
shell> wireshark

  • 上面的命令是没有问题的,而在实验中开始没有加-s0参数,结果只截取到了一个不完整的包,导致后面replay失败。

  • 这里描述一下replay受挫详细过程

 root@S71[1]~15:28:04
  
  
root@S71[1]~15:28:14
  
sending out eth0 processing file: yfang.cap processing file: yfang.cap processing file: yfang.cap Actual: 3 packets (288 bytes) sent  0.23 seconds Rated: 12007.5 bps, 0.09 Mbps/sec, 125.08 pps Statistics  network device: eth0 Attempted packets: 3 Successful packets: 3 Failed packets: 0 Retried packets (ENOBUFS): 0 Retried packets (EAGAIN): 0 
  [root@S172 ~]
 tcpdump: verbose output suppressed, use  or -vv

  • 现在我们已经知道怎么抓包了,如何简单区分DHCP各个包的具体信息呢,其实这一点上我个人推荐使用wireshark来分析,他不单会帮你抓好包,还会标明DHCP的标志信息,比如是DISCOVER,REQUEST,ACK,OFFER 等等。不用自己去分析标志位。即便如此,这里还是为感兴趣的朋友列一下DHCP Massage Type 的区别


http://blog.csdn.net/lby8203xj/article/details/6552213


科来数据包播放器:http://www.colasoft.com.cn/download/capsa_tool_pktplayer.php

科来数据包生成器:http://www.colasoft.com.cn/download/packet-builder.php


本文转自 stock0991 51CTO博客,原文链接:http://blog.51cto.com/qing0991/1885112

weixin_34032792
关注
Mininet.pcap数据集的流量重放——基于tcpreplay
裕东方的博客
03-03 4826
前言 很多论文的SDN实验通常用到公用数据集作为背景流量,而这些数据集通常由tcpdump、wireshark等抓包生成,格式为.pcap。 本文介绍在SDN模拟环境mininet重放.pcap数据集的方法。 数据 本文采用的数据集为tcpreplay的示例数据集bigFlows系列:Sample Captures 该数据集的详细信息: This is a capture of real network traffic on a busy private network’s
Tcpreplay回放流量遇到的坑
weixin_44275663的博客
08-26 6135
1.Tcpreplay做不到服务端能实时响应的回放 回答 :使用Tcpreplay回放Pcap流量,Tcpreplay只能保证发出去,如果想要服务端响应的话,需要使用tcpliveplay(使用tcpreplay回放tcp的时候,不能同步TCP里面Syn/Ack的编号)。 2.在Tcpreplay服务端只能抓到单方向的流量 问题描述:在服务端通过nc -l 1234监听1234端口,在客户端连接服务端通过: nc -nvv server_ip 1234 命令,客户端向服务端发送数据。 与此同时在客户端抓取
tcpreplay发包工具
03-21
tcp发包工具,运行sudo ./autogen.sh编译,需要lpcap库支持。可以用来发包,测试网络负载等
包嗅探和包回放简介-tcpdump,tcpreplay
weixin_30556959的博客
11-28 475
一. 嗅探 1.1 嗅探技术简介 1.1.1 目标 嗅探的目标:获取在网络上传输的各种有价值信息:账号、密码、非公开协议 1.1.2 原理 嗅探的原理:大多数嗅探都是在以太网内,利用数据链路层技术进行的嗅探,依照嗅探器部署的位置不同,它们为达到这个目的所采用的技术也不尽相同 1.1.3 类型 1.1.3.1 共享以太网的嗅探 共享以太网的通信的方式:要传送的...
常用tcpdumptcpreplay命令
captain
02-08 713
tcpdump 1.从所有网卡获取数据包 $tcpdump -i any 2.从指定网卡获取数据包 $tcpdump -i eth1 -w packets_file 3.读取之前产生的tcpdump文件 $tcpdump -r packets_file 4.获取更多包信息,并且以可读形式显示时间戳 $tcpdump -ttttnnvvS 5.查看整个网络数据包 $tcpdump net 192...
tcpreplay + tcpdump 联合起来进行回放和监控
lqw198421的专栏
03-02 1060
背景 TCP回包过滤项目里,raw socket捕获不到目标消息对应的port来的数据,需要在本地搭建一下测试环境来复现一下实盘环境; 期望: 数据从docker A 的网卡,发送到docker B 的网卡; 或者如果可以最直接的话,就是某个docker 的网卡直接接收到模拟数据; 思路 tcpreplay来模拟发送,tcpdump来模拟捕获,先确定能够很好的回复实盘环境; 但实际上是不行的: 通过这个测试可以说明,tcpreplay模拟的是通过某个网卡向外发送,而不能模拟接收 tcpreplay -p 1
tcpdump抓包,然后使用tcpreplay进行回放,出现了一些问题,目前找不到答案,暂时先记录在这里
lengye7的博客
05-05 5360
我在使用tcpdump抓包后,然后将一部分数据包使用tcpreplay进行回放 对比原包和回放的包,我发现某些回放的包在帧尾会多出6个字节的0,这个简直匪夷所思,先记录下来,以后有时间再细细研究。 如果有知道的朋友,请留言,或者大家一起探讨也好,是由于文件格式问题还是由于什么问题。
银河麒麟v10服务器版 tcpreplay
12-25
银河麒麟v10服务器版 tcpreplay可执行二进制文件
tcpdumptcpreplay:流量再现与模拟
tcpdumptcpreplay是网络管理员和安全专家常用的工具之一,它们可以帮助我们分析和解决网络问题,定位网络故障,在网络安全检测和仿真攻击,还可以模拟网络流量进行性能测试和优化。它们的作用和意义如下: - **...
tcpreplay命令 性能或功能测试
01-09
它允许你对报文做任意的修改(主要是指对2层、3层、4层报文头),指定重放报文的速度等,这样tcpreplay就可以用来复现抓包的情景以定位bug,以极快的速度重放从而实现压力测试。 语法格式:tcpreplay [参数] [文件] ...
tcpreplay和tcpdump的理解和使用
dengyc94的博客
11-07 1100
1、tcpdump是linux系统常用的抓包工具 常见的表达式如下: tcpdump -i eth0 -s 0 -v -w syslog.pcap port 514 -i interface:指定tcpdump需要监听的接口。默认会抓取第一个网络接口 -s len:设置tcpdump数据包抓取长度为len,如果不设置默认将会是65535字节。对于要抓取的数据包较大时,长度设置不够可能会...
linux下网络发包工具
weixin_30879169的博客
12-18 1052
第1章.说明 本文档只适用于Tcpreplay3.x。 第2章.Tcpreplay系列工具 2.1. 概述 首先推荐一个网站:http://tcpreplay.synfin.net/,上面有Tcpreplay的安装包和很多文档,包括手册、man页和FAQ等。本文也是在参考这个网站的基础上,通过一些实验而得出的。 Tcpreplay是一系列工具的总称,包括tcprepl...
tcpreplay的安装与使用
精益求精,永无止境,永远在路上!
03-18 1万+
tcpreplay的安装与使用
tcpdump(四)保存、回放、流量
清风扬
04-10 5019
流量保存与回放 做过网络流量分析的朋友,或许都有一个共同的需求,那就是都要做"流量保存"和"流量回放"。 流量保存:把抓到的网络包存储到磁盘上,保存下来,为以后使用。 流量回放:把历史上的某一时刻段的流量,重新模拟回放出来,用于流量分析。 -w 选项:将流量保存到文件 [root@test ~]# tcpdump -i ens39 -w tcp.txt tcpdump: list...
tcpreplay发包和用tcpdump接收包
liliechao的博客
06-29 2745
我测试的是:在同一台服务器上的一张光纤网卡有两个光口,用光纤相连。打开两个终端:一个输入:tcpdump -i p3p1 (p3p1为光口名,等待接收)另一个输入:tcpreplay -i p3p2 -p 100000 /home/ubuntu/downloads/aa.pcap   (p3p2为另一光口名,发送数据包,其p参数为数据包发送次数)ps:对于多网口的服务器,我感觉会有一个网口为
Tcpdump配合Tcpreplay回放实现网络
nuoline的专栏
02-25 1729
实际上,这个需求来自IT的监控,监控的根本目标是随时发现局域网内的非法DHCP服务器,以报警。 实现的具体策略:找一台机器,每分钟跑一次cron,执行检查并在出错时报警(邮件或者短信)。具体的核心策略是:模拟广播DHCP DISCOVER包,在规定时间内给出DHCP REPLY的就是当前有效的DHCP服务器,假设我们局域网内唯一合法的DHCP是192.168.1.1,当给出REPLY的主机列表
tcpreplay的使用方法
新雪兰
12-17 1万+
Tcpreplay 是一系列工具的总称,包括 Tcpreplay ,Tcprewrite 和Tcpprep ,是用来在Unix 或linux 系统上重放数据包的软件。实现数据报文回放分为三步: 用Tcpprep 对报文的通信流量的两方(服务器/ 客户端)进行分离 Tcpprep 的作用是划分客户端和服务器,区分PCAP 数据包的流向,即划分哪些包是客户端的,哪些包是服务器的。在回放包...
Nmap与Tcpdump深度解析:全面掌握网络探测与安全工具
Nmap主要用于网络探测和安全扫描,而tcpdump则是一个网络包抓取工具,可用于分析网络流量。本文将详细解析这两个命令的用途、工作原理及常用选项。 **Nmap命令详解** Nmap是一款多平台的开源网络扫描工具,其主要...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值