2012年2月7日 星期二

Tcpreplay3.x的安裝、使用和源碼分析


第1章.     說明
本文檔只適用於Tcpreplay3.x。

第2章.     Tcpreplay系列工具
2.1.  概述
首先推薦一個網站:http://tcpreplay.synfin.net/,上面有Tcpreplay的安裝包和很多文檔,包括手冊、man頁和FAQ等。本文也是在參考這個網站的基礎上,通過一些實驗而得出的。
Tcpreplay是一系列工具的總稱,包括tcpreplay、tcprewrite和tcpprep等工具,這也是Tcpreplay的第一個字母大寫的原因。它用來在Unix系統或類Unix系統上重放網路包。這些包是由tcpdump、ethereal和wireshark等軟體抓取到的,即pcap格式的資料包。
正因為Tcpreplay有重放資料包的功能,所以它常被用來模擬IDS攻擊等測試環境,被廣泛地用來測試防火牆和IDS工具的安全性。

2.2.  功能

安裝Tcpreplay包時,預設情況下是安裝了如表1所示的這些工具的。表 1還給出了各個工具的功能。
工具
功能
tcpreplay
重發pcap檔中的資料包。
tcprewrite
改寫pcap資料包的2-4層的頭部資訊,即MAC位址、IP位址和PORT等。
tcpprep
區分pcap資料包的流向,即區分出用戶端和伺服器。
 1 Tcpreplay系列工具的功能


2.3.  各工具的組合
從表1可以看出tcpreplay負責發送資料包,tcprewrite用來改寫資料包,tcpprep用來區分用戶端和伺服器。
1)        因為資料包中的內容都是雙向的(用戶端->伺服器,伺服器->用戶端),tcprewrite改寫資料,tcpreplay發送資料包時都應該區分方向(即區分用戶端和伺服器),因此這兩個工具一般是工作在tcpprep的基礎上的。
2)        tcpreplay可以發送任意pcap資料包,如果它想改變發送內容,就必須先用tcprewrite來改寫資料包,然後再發送改寫後的資料包。

2.4.  補充說明
Tcpreplay2.x中的tcpreplay將區分用戶端和伺服器、改寫資料包,發送資料包等功能都集成在一起。Tcpreplay3.x為了設計的簡單和使用的方便性而做了上述的改進。

第3章.     Tcpreplay的安裝、配置
3.1.  相關的準備
Tcpreplay要實現它的功能要用到其它一些庫。
1)        libpcap庫。libpcap庫是推薦而且幾乎是必須的。Tcpreplay用它來發送資料包。請下載安裝libpcap0.7.2及以上版本。
2)        tcpdump。強烈推薦但不是必需的一個工具。Tcpreplay用它來解碼資料包,而且我們也可以用它的抓包功能來配合Tcpreplay的使用。當然,ethereal等軟體也可以實現這樣的功能,但tcpdump無疑是性價比最高的。
3)        libnet庫。不推薦的一個庫。Tcpreplay也可用它來發送資料包,但由於libnet自身的bug比較多且已不再有人維護,Tcpreplay未來版本有可能取消對它的支持。
更詳細的說明請參看http://tcpreplay.synfin.net/上的相關內容

3.2.  安裝步驟
首先,下載安裝包。Tcpreplay的源碼安裝包可以在http://tcpreplay.synfin.net/上下載到。
然後解壓安裝包。假設安裝包名字為tcpreplay-3.3.0.tar.gz,所在的目錄為/urs/local/src,所用的作業系統為redhat9,解壓安裝包可以直接輸入“tar –xzvf tcpreplay-3.3.0.tar.gz”。
進入解壓後的資料夾。輸入指令“cd tcpreplay-3.3.0”。
遵循一般的軟體安裝步驟,如下所示。
$./configure  /* 檢查系統的配置,自動生成Makefile */
$make       /* 編譯、連接並安裝Tcpreplay */
$make install  /* 安裝Tcpreplay手冊等 */
上面是最簡化的安裝。如果你還有其它安裝和配置需求,請查看安裝包中的INSTALL和README文檔。

第4章.     Tcpreplay的使用
本部分將結合一個實例來講解。先說明一下這個實例的運行環境和測試思路。本實例採用的是tcpreplay-3.3.0,運行在遠端linux伺服器上,用來發送http.pcap中的內容,同時在伺服器上我用tcpdump來抓取tcpreplay發出的包;在本地windows中我用wireshark(ethereal的增強版本)來觀察從伺服器上下載過來的各種資料包(即tcpdump抓取到的包、tcprewrite修改後的包,這些包是通過ftp或ssh下載過來的)。

4.1.  指令風格簡介
Tcpreplay系列工具的指令風格一致,都比較簡潔。你可以鍵入“man tcpreplay”或“tcpreplay -h”類似指令來查得相關?明。下面的講述以tcpreplay為例。
指令的選項分簡短的和完整兩種形式。如查詢版本的簡短選項是“-V”,完整形式則是“--version”。
有的選項帶有參數,而且兩種選項的輸入參數的形式不同。如以快取檔案選項為例,對於簡短選項,形式是“-c pathname”;對於完整選項,形式是“--cachefile=pathname”。pathname是快取檔案的路徑。


4.2.  區分用戶端和伺服器
輸入如下指令。
$tcpprep –-port –cachefile=cache_test.cache  --pcap=http.pcap
tcpprep的詳細使用請參看相關手冊(如man手冊)。
--port是指tcpprep用port-split模式來區分用戶端和伺服器。在這種模式下,所有目的埠<1024的,將被視作用戶端->伺服器的包,否則視為伺服器->用戶端的包。tcppgrep有auto,cidr,regex,port和mac等多種模式,各種模式的詳細情況請查看相關手冊(如man手冊)。
--pcap=http.pcap是指tcpprep處理的是http.pcap這個檔。
--cachefile=cache_test_cache是指tcpgrep處理後的資訊存放在cache_test_cahe這個檔中。這個檔在tcprewrite和tcpreplay中將用到。
整個指令的意思就是採用port-spllit模式來處理http.pcap文件(區分http.pcap中的用戶端和伺服器),然後將處理結果存到cache_test_cache檔中。


4.3.  改寫資料包的的內容
輸入如下指令。
$tcprewrite --endpoints=192.168.0.1:192.168.0.2  --cachefile=cache_test.cache \
--infile=http.pcap  --outfile=http_rewrite.pcap
tcprewrite的詳細使用請參看相關手冊(如man手冊)。
--endpoints=192.168.0.1:192.168.0.2是指將用戶端ip修改為192.168.0.1,將伺服器ip修改為192.168.88.0.2,注意3.x版本的Tcpreplay自動地將IP的校驗和修改好。用wireshark查看http_rewrite.pcap可以得到這個修改結果。
--cachefile=cache_test_cache是指tcprewrite用tcpprep 上步的處理結果——cache_test.cache來區分方向。
--infile=http.pcap是指要處理的pcap文件是http.pcap。
--outfile=http_rewrite_pcap是指處理結果存在http_rewrite_pcap檔中。這個檔將是tcpreplay發送資料包的來源。

4.4.  發送資料包
輸入如下指令。
$tcpreplay –intf1=eth0 –intf2=eth0 –t –cachefile=cache_test.cache http_rewrite_pcap
tcpreplay的詳細使用請參看相關手冊(如man手冊)。
--intf1=eth0是指主介面是eth0,用戶端->伺服器的資料包通過這個介面發送。伺服器和用戶端的區分是從tcpprep的處理結果cache_test.cache中得到的。
--intf2=eth0是指從介面是eth0,伺服器->用戶端的資料包通過這個介面發送。
--cachefile=cache_test_cache是指tcpreplay用tcpprep 上步的處理結果——cache_test.cache來區分方向。
http_rewrite.pcap是指tcpreplay發送的是來自http_rewrite.pcap這個檔中的資料包。


4.5.  合理使用tcpdump
我們可以合理地使用tcpdump來配合tcpreplay的使用。舉兩個例子。

4.5.1.  抓包
用tcpdump 抓取tcpreplay在eth0埠發出的tcp包,並要求這些包的目的地址是192.168.0.2,可輸入如下的指令。
tcpdump –i eth0 –w tcpdump.pcap –s 0  '(tcp and (dst host 192.168.0.2) ) '  /* 如果不能同時開多個shell 視窗,可以讓它後臺運行 */
-w tcpdump.pcap是指將抓取到的包存到tcpdump.pcap這個檔中,-s 0是指盡可能大的抓取每個包(儘量不截斷),最後面的單引號裡的內容是過濾規則。


4.5.2.  選包
又如你只想把test.pcap檔中埠號為80的tcp包(http包)提取出來,再轉交給tcpreplay去發送,可以這樣做。
$ tcpdump -r test.pcap -w http_only.pcap –s 0 tcp port 80
-r test.pcap是指從test.pcap中讀包。這個指令的意思是從test.pcap中讀包後,根據“tcp port 80”這個過濾規則篩選出滿足要求的包,將這些包存到http_only.pcap這個檔中去。
此後我們就可以用tcpreplay來發送http_only.pcap中的http包了。
第5章.     Tcpreplay的源碼分析
由於時間和精力有限,源碼分析是以後的任務。tcpreplay-3.3.0的源碼,稍微瞄了下,發現很大,大概有1M多。它的源碼分析的資料少,如果真要分析它的源碼的話,還是要費很大功夫的。我的分析思路大致是先抓住Tcpreplay.c、tcprewrite.c和Tcpprep.c等檔,然後從這些檔順藤摸瓜,分析它的具體實現。另外,可以通過閱讀Tcpreplay的最初版本(代碼量應該是小多了),來幫助我們理解Tcpreplay的實現;

沒有留言: