tcpreplay

ハニーポットなどでキャプチャした攻撃の再現検証などで使う?

インストール例

yum -y install gcc libpcap-devel make
wget "http://prdownloads.sourceforge.net/tcpreplay/tcpreplay-3.4.3.tar.gz?download"
tar zxf tcpreplay-3.4.3.tar.gz
cd tcpreplay-3.4.3/
./configure --prefix=/usr/local/tcpreplay-3.4.3
make
make test
make install
ln -s /usr/local/tcpreplay-3.4.3 /usr/local/tcpreplay

使用例

/usr/local/tcpreplay/bin/tcpreplay-edit --pnat=10.0.0.1:192.168.0.1,10.0.0.254:192.168.0.254 --portmap=80:8080 --loop=0 --intf1=eth0 hoge.pcap

tcpreplay ではなく tcpreplay-edit を使えば IP アドレスやポート番号を書き換えることができます。
–pnat で IP アドレスを書き換えています。
–portmap で ポート番号を書き換えています。
–loop は繰り返し。–loop=0 で無限ループ。
–intf1 はどのインタフェースに流すのかを指定。
hoge.pcap は tcpdump (-s 0 を忘れないように) などでキャプチャしたデータ。

参考文書

タイトルとURLをコピーしました