在离线情况下利用数据包回放模拟一个真实的网络环境是一种常用方法,因而寻找一种方法对网络数据包进行可靠地回放变得尤为重要。如何在离线的实验室环境下,将捕获的网络数据包按照实验人员的意愿回放到离线网络环境中,从而进行离线评估和流量测试。
常用的回放工具有tomahawk和tcpreplay。
tomahawk
tomahawk是一款用于测试入侵防御系统(IPS)的工具,工作在OSI模型的第二层,只能测试网桥型网络设备。它通过分析截获的网络数据包文件(需要有一个完整的TCP连接,包括三次握手包和四次分手包),分辨出其中的Client和Server端,再通过指定的两个网卡发送出去。
tomahawk使用格式
tomahawk [ -i interface1 ] [ -j interface1] [ -h ] [ -Z ] [ -q ] [ -d ] [ -W ] [ -R rate ] [ -m window ] [ -w lookahead ][ -a startIpAddr ] [ -s startId ] [ -e endId ] [ -L logFile ] [ -N maxActive ][ -A (0|1) ] [ -t timeout ] [ -r maxRetrans ] [ -n maxActive ] [ -l loops ] [-f file ]
• -i interface1 从interface1网口发送client到server方向的包
• -j interface2 从interface2 网口发送 server到client方向的包
• -R rate 限制tomahawk发送测试网络速率, MB/秒, 这个数可以是浮动数, 比如100Kbps的流量,可以使用-R 0.1表示
• -a startIpAddress 当重写IP地址时, 可以从startIpAddress开始分配IP地址
• -A (0|1) 是否需要修改包中的IP地址标记,0为不修改。
• -d随机最低2 byte的IP address (使用仅仅当在pcap有2 IPs)
• -t timeout 等待一个数据包到达目的端网卡的最小时间值
• -n maxActive 在网线中同时的流拷贝最大连接数
• -l loops 循环回放文件的次数
• -f file 要回放的数据包文件
[Nsos6.3 SSG]# tomahawk -l 1 -A 0 -i eth0 -j eth1 -f license-kehuchaxun.pcap
Beginning test
Completed 1 loop of trace license-kehuchaxun.pcap (hid: 1)
Finished 1 loops of trace license-kehuchaxun.pcap Completed: 1, Timed out: 0
Retrans: 0
Sent: 8
Recv: 8
网友评论