重放捕获的udp通信量
我正在尝试使用TCP重放发送数据包。该文件在另一个网络中捕获,并包含UDP数据包。为了重播,我更改了src和目标地址,etc...using命令如下:
tcprewrite --infile=original.cap --outfile=changed.cap --srcipmap=0.0.0.0/0:<MY HOST IP>/32 --dstipmap=0.0.0.0/0:<MY HOST IP>/32 --enet-dmac=<enp0s25 mac addr> --enet-smac=<enp0s25 mac addr> --fixcsum更改数据包后,我尝试使用tcpreplay重放:
sudo tcpreplay --intf1=enp0s25 changed.captcpdump显示数据包被重新写入,并且完全正常:
[root@localhost ~]# tcpdump -i enp0s25 udp port 6302
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on enp0s25, link-type EN10MB (Ethernet), capture size 262144 bytes
09:31:56.758809 IP localhost.localdomain.qb-db-server > localhost.localdomain.6302: UDP, length 673
09:31:56.758836 IP localhost.localdomain.12608 > localhost.localdomain.6302: UDP, length 669
09:31:56.758845 IP localhost.localdomain.13024 > localhost.localdomain.6302: UDP, length 671
09:31:56.758967 IP localhost.localdomain.11584 > localhost.localdomain.6302: UDP, length 666
....但是,如果我启动netcat来监听端口0.0.0.0:6302,我就看不到任何流量!
你知道怎么回事吗?
回答 2
Stack Overflow用户
发布于 2019-09-05 11:53:26
这是完全正常的。参数--intf1设置输出接口,而不是输入接口。因此,您的数据包不会被注入到linux网络堆栈中。换句话说,接口驱动程序的输出函数用于发送数据包,这不是您想要的。
要解决这个问题,您需要使用来自应用程序(如netcat)的UDP套接字,并发送pcap的UDP有效负载,或者在另一台机器上运行tcpreplay (也可以是VM)。
这样,tcpreplay将使用接口(由-intf1 1设置)来“输出”数据包,而您的机器将使用驱动程序的输入函数将数据包注入Linux网络堆栈。
Stack Overflow用户
发布于 2018-10-01 23:43:55
我看到您正在重放该文件以与enp0s25接口。但是,您的tcpdump输出显示您正在本地主机上捕获。尝试tcpdump -i enp0s25。
https://stackoverflow.com/questions/52596037
复制相似问题
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号