如何将PCAP文件中的IP地址更改为字符串

Question

我需要存档一些PCAP文件，并与那些不知道pcap中的各种IP地址是指什么的人分享。

因此，我希望找到一种方法来编辑PCAP文件并更改IP地址，以便它们在wireshark中显示为fqdn或随机字符串。例如"server.a.some.domain“或"serverA”而不是192.168.x.x。这样，人们就可以了解流量，而不必询问每个IP是什么。

我可以在wireshark中使用名称解析功能手动实现这一点，但我希望在共享PCAP文件之前自动更改它们。

我尝试过bittwiste和tcprewrite，但它们似乎只支持将IP地址更改为另一个IP地址，而不支持字符串。

这样行得通

$ bittwiste -I a.pcap.file.pcap -O test.pcap -T ip -s 192.168.0.0,192.168.0.2
input file: a.pcap.file.pcap
output file: test.pcap

1771 packets (665162 bytes) written

但这不是

$ bittwiste -I a.pcap.file.pcap -O test.pcap -T ip -s 192.168.0.0,serverA
bittwiste: invalid source IP address

有谁知道这是不是可能的，怎么做的？

谢谢

Answer 1

这并不像看起来那么微不足道。您想要替换的名称只在应用程序数据中，即通常在DNS请求和响应中，作为TLS握手的一部分( ClientHello中的SNI，服务器证书中的CN/SAN )，在HTTP请求头的主机字段中...

虽然您可能会尝试简单地将所有此类名称替换为其他名称，但这会破坏TCP连接中的序列号，除非您将其替换为完全相同长度的名称。即使这样，它也会使TCP校验和无效，使证书上的签名无效，...在DNS的情况下，简单的字符串替换甚至找不到所有的名称，因为它们可能被编码在DNS中，并且不仅仅是作为普通字符串在DNS分组内。