(完全)随机化PCAP文件中的IP地址

Question

我有几个包含网络流量的PCAP文件。为了对网络实验进行一些实验，我需要具有完全随机IP地址的真实数据。

我很清楚tcprewrite的可能性，它可以与种子参数一起使用，如下所示：

tcprewrite --seed=423 --infile=input.pcap --outfile=output.pcap 

根据该文档，在使用此方法时，主机之间的会话将被维护。然而，基于可用的数据集，这并不能为我提供足够的随机性。例如，假设一个包含多个数据包的大型PCAP文件，但是它只包含两个主机之间的通信量。使用上述方法随机化此跟踪，只需将两个IP地址替换为另外两个。总共还有两个地址。

我想改变的IP地址完全独立于原来的IP，以统一分布在所有可用的IP空间或在一个给定的前缀。

例如，我希望将PCAP文件中的所有目标地址更改为在10.0.0.0/8范围内均匀和随机分布，而不维护原始映射。

因此，问题是:如何将PCAP文件中的IP地址完全随机化？

理想情况下，我希望指定地址随机化的IP范围，因此基本上:如何将所有目标地址设置为10.0.0.0/8范围内的随机地址？

Answer 1

Wireshark维基列出了许多要调查的选项。

这些工具可用于“匿名”捕获文件，将IP地址等字段替换为随机值。

• AnonTool来自无线流量的爬行存档。
• 从位扭转的位扭曲工具。
• 密码盘工具。
• Network工具，可用于匿名数据包。
• 来自Karlsruhe技术学院的pktanon工具。
• 擦洗-tcpdump工具。
• 来自Internet流量存档的tcpdpriv工具。
• 来自tcpreplay的tcprewrite工具。
• TraceWrangler工具。

此外，谷歌在github上快速搜索桑卡普。