随着网络数据包分析技术的应用，关于数据包捕获和分析的安全性问题也随之而来，由于网络数据包或多或少会带些敏感信息，涉及信息分享时总会带有一定顾虑。

在我们的工作当中，有时就会碰到如下类似的场景，包括：

1. 生产业务系统碰到问题之后所采集的网络数据包，需要提供给内部或外部的工程师进行排查分析；

2. 涉及到朋友之间探讨技术问题或者在外部公共场合平台咨询、讨论的时候，一些需要共享的网络数据包信息，包括截图或跟踪文件；

3. 对外发布技术文章和资料，涉及到引用网络数据包信息的时候。

......

那么如何保证这些共享数据包信息的安全性呢？

其中有一种方法就是匿名化数据包信息，本文从一个匿名化工具使用者的角度做下简单介绍。

而对于匿名化数据包跟踪文件信息来说，可能包括数据包信息截图或是数据包跟踪文件本身两方面的处理。

1. 数据包信息截图

首选马赛克，图像处理下相关信息，譬如 IP 地址部分 ~ P 图工具 ；

2.数据包跟踪文件

通过切片工具，只留需要的首部部分做分析；（缺点是无法深入到应用层）

数据包匿名化工具（或称为数据包修改器），深入处理，手工或批量处理像是 MAC 地址、IP 地址、TCP/UDP 端口和应用层等信息。

TraceWrangler

TraceWrangler 是 Wireshark 核心技术人员 Jasper Bongertz 大神开发出来的一个工具，经常看 Sharkfest 的同学应该对这个工具不会陌生，基本每一年的大会上他都会就 TraceWrangler 做专题演讲。

说实话，就我个人来说，自从用过 TraceWrangler 工具后我就很少再用其他的工具了，TraceWrangler 只能用神器来形容，至少是能完全覆盖我想用来分享数据包文件信息的场景了。

主界面

添加文件及匿名化文件

默认任务就包括常见的一些匿名化处理选项，包括：

Payload，可移除未知应用层、截断某一层、按偏移位截断以及替换指定字符串；

PCAPng，针对pcapng格式文件，可以匿名化评论、接口名字、名字解析等；

Layer2，可以指定或随机替换 MAC 地址和 VLAN ID、替换 CRC 等；

Layer3，可以指定或随机替换 IP 地址和 IP ID、ICMP 控制信息等；

Layer4，可以指定或随便替换 TCP、UDP 端口信息等；

其他，包括特殊应用层信息等。

当然通过 Tools 选项也可以清除所有的默认选项，根据自己的需求仅匿名处理某一个字段，或者可以设置并保存一个自己常用的 Proflie 。

以下简单做一个 IPv4 地址的匿名化处理任务，原文件信息如下：

仅处理 IPv4 地址信息，指定替换源IP 192.168.0.1 为 100.1.1.1 ，目的IP 10.10.10.1 为 200.1.1.1，当然也可以随机匿名处理IPv4地址，见下【Process remaining IP addresses】  选项。

点击 Okay 之后回到主界面，生成一个匿名化文件任务（右侧包括文件细节），之后点选 Run 后，在原始文件旁边即自动生成一个匿名化好的文件，原文件名如 test.pcapng，则匿名化文件为 test_anon.pcapng 。

test_anon 文件信息处理如下

参考

TraceWrangler - Packet Capture Toolkit

https://www.tracewrangler.com

Wireshark 用户使用手册 —— 使用数据包

https://dev-docs.csdn.net/articles/9da7eadd45374b90976a45a8536c629e/wireshark