tcpprep:不允许命令行参数

Question

我不知道为什么在ubuntu终端上执行下面的命令会抛出错误。tcpprep语法和选项如帮助文档中提到的那样，仍然抛出错误。

root@test-vm:~# /usr/bin/tcpprep --cachefile='cachefile1' —-pcap='/pcaps/http.pcap' 

tcpprep: Command line arguments not allowed
tcpprep (tcpprep) - Create a tcpreplay cache cache file from a pcap file

root@test-vm:~# /usr/bin/tcpprep -V
tcpprep version: 3.4.4 (build 2450) (debug)

Answer 1

您的命令有两个问题( tcpprep错误模糊或错误无助于此)。

问题1:命令出现故障

tcpprep要求-i/--pcap先于-o/--cachefile。您可以按以下方式修复此问题，但随后将得到一个不同的错误：

bash$ /usr/bin/tcpprep —-pcap='/pcaps/http.pcap' --cachefile='cachefile1'

Fatal Error in tcpprep_api.c:tcpprep_post_args() line 387:
Must specify a processing mode: -a, -c, -r, -p

请注意，上面的错误甚至是不准确的！-e/--mac也可以使用！

问题2:必须指定处理模式

tcpprep用于使用您提供的启发式方法将捕获文件预处理到客户机/服务器。纵观tcpprep手册，有5个有效的选项(-acerp)。考虑到这个捕获文件作为input.pcapng与服务器192.168.122.201和next hop mac 52:54:00:12:35:02，

-a/-汽车

让tcpprep根据5种启发式方法中的一种确定：bridge、router、client、server、first。例如：

tcpprep --auto=first —-pcap=input.pcapng --cachefile=input.cache

C/-cidr

根据cidr范围指定服务器。我们在192.168.122.201、192.168.122.202和192.168.3.40看到服务器，所以用192.168.0.0/16进行总结

tcpprep --cidr=192.168.0.0/16 --pcap=input.pcapng --cachefile=input.cache

-e/--mac

在此捕获中，这并不像捕获中的所有通信量具有52:54:00:12:35:02、ff:ff:ff:ff:ff:ff (广播)或33:33:00:01:00:02 (多播)下一跳的最大mac一样有用。尽管如此，下一跳的流量不会是客户端通信量，因此如下所示：

tcpprep --mac=52:54:00:12:35:02 —-pcap=input.pcapng --cachefile=input.cache

-r/-regex

这是针对IP范围的，是用--cidr总结子网的另一种选择。如果您有几个if，如10.0.20.1、10.1.20.1、10.2.20.1、.总结是行不通的，而regex是行不通的。这是我们可以用来总结服务器的一种正则表达式：

tcpprep --regex="192\.168\.(122|3).*" —-pcap=input.pcapng --cachefile=input.cache

-p/-港口

查看Wireshark > Statistics >Endpoint，我们看到端口135,139,445,1024/tcp，137,138/udp与服务器IP相关联。与dcerpc一起使用的1024/tcp是唯一超出0-1023范围的，因此我们必须手动指定它。根据服务语法，我们将它表示为'dcerpc 1024/tcp‘。为了指定端口，我们还需要指定一个--services文件。我们可以用过程替代指定一个内联作为临时文件描述符。总之，

tcpprep --port --services=<(echo "dcerpc    1024/tcp") --pcap=input.pcapng --cachefile=input.cache

进一步阅读

有关更多示例和信息，请查看网上文档。