tcpreplay:逆序重放pcap

Question

有没有办法以相反的顺序重播预先录制的pcap文件？也就是说，从文件中的最后一个数据包开始，而不改变数据包之间的延迟？

我还尝试使用scapy反转pcap本身，如下所示：

>>> from scapy.all import *
>>> pkts = rdpcap("telemetry.pcap")
>>> pkts.reverse()
>>> wrpcap("telemetry_rev.pcap", pkts)

这段代码实际上是工作的，因为文件中的数据包顺序是颠倒的。问题是它没有触及数据包的时间戳，所以我最终得到了数据包之间的负延迟(请看下图)，这不是由tcpreplay处理的。有什么想法吗？

​

​

Answer 1

Wireshark提供了“时移”功能。您可以尝试在颠倒的文件上编辑Wireshark，然后将数据包1的时间设置为您选择的某个时间，然后将最后一个数据包的时间设置为您选择的另一个时间，并让->推断介于两者之间的所有其他数据包的时间戳。

您可能还想研究一下editcap，它还提供了一个时间调整功能。