Tcpreplay功能介绍一.Tcpreplay内容Tcpreplay就是重放TCP报文，包括三方面内容：tcpprep（确认客户端发给服务器的报文，还是服务器发给客户端的报文）tcprewrite，（编辑报文），tcpreplay（发送报文）。Tcpprep是在tcprewrite和tcpreplay之前使用的pcap文件的处理程序。使用tcpprep的目的就是建立一个cache文件，用于分离通信流量的两方（客户端/服务器）。如果在两个网卡上使用tcpreplay，tcpprep就是用来决定每一个报文（packet）从哪一个借口发出。Tcprewrite编辑报文，通常在2-4层。比如修改MAC/IP地址或TCP/UDP端口。大多数协议都是双向的，所以tcprewrite需要知道什么时候在另一个方向上使用。（例如：二层修脑?MAC地址和目的MAC地址；三层修改IP地址，自动重新计算校验和；四层修改tcp/udp端口，自动重新计算校验和）Tcpreplay通过使用tcpprep分离程序建立的cache文件，根据cache文件通过自身计算来分离流量，高速率发送报文。（可以指定重放速度；重放多少次；重放多少个；一个一个重放《用于调试》）二.重要参数1.Tcpprep参数：参数：-d后跟数字，表示输出调试信息，0-5，默认值为0。-a一般情况下都需要的参数，表示按模式自动分离通信流量生成cache文件。-c可选参数，表示分离流量时采用CIDR（无类别域间路由选择）。（报文由主网卡发出）-r可选参数，表示使用regex模式分离通信流量，有点类似于CIDR模式，但是它匹配的是服务器源IP。-p可选参数，基于目的端口来分离通信流量，它区分的依据是认为0-1023端口都是服务器的端发出的报文，其他的端口都是客户端发出的报文。-e表示基于服务器源MAC地址分离通信流量-C可选参数，表示在cache文件中嵌入注释内容，用于注释说明cache文件的内容。使用位置不要放在最后，生成cache后可以使用-P查看写入的内容。-x重要可选参数，表示按照参数定义的需求来定义发送报文S：在CIDR模式下必须匹配源IPD：在CIDR模式下必须匹配目的IPB：匹配源和目的IPP：根据参数后的参数值（报文编号）发送指定的报文。可以在ethereal中确认报文的编号，然后把需要的报文发送。可以用于排除ARP报文。F：未知-X可选参数，是-x的取反-o生成cache文件必带参数，后跟cache文件名。表示这个输出的cache文件以这个名字命名。-i生成cache文件必带参数，后跟pcap文件名，表示这个pcap文件需要处理。-P可选参数，表示查看cache文件的内容。-I表示打印cache文件的基本信息-S表示打印cache文件的统计信息-s表示从服务器端口下载服务文件-N表示从服务器端口发送无IP流量-R可选参数，一个比例值。服务器端发起的连接数和客户端发起的连接数的比例，值大于2就视为服务器端。-m可选参数，在选用router模式时使用，表示最小掩码，默认是30（2个有效ip地址）。-M可选参数，在选用router模式时使用，表示最大掩码，默认是8（1600万个ip地址）。-v可选参数，显示tcpprep生成cache文件的处理过程。信息的即时打印。-A可选参数，在使用tcpdump风格打印输出信息时，同时再调用tcpdump中的参数。-V显示版本号-hlesshelp-Hhelp-！morehelp！2.Tcprewrite参数-r重写tcp/udp端口-s随机改写IP地址-N通过伪NAT重写IP地址-e在最后两个点之间重写IP地址-b不重写广播/多播IP地址-C强制重新计算IP/TCP/UDP校验和-m指定MTU-E删除以太网最后一帧的校验和（删除最后两个字节）-F填充或截取包的数据以匹配包头长度-d输出调试信息（0-5，默认0）-i处理输入pcap文件-o输出pcap文件-c使用tcpprepcache文件分离流量-vtcpdump风格打印对应信息-A可选参数，在使用tcpdump风格打印输出信息时，同时再调用tcpdump中的参数。-V显示版本号-hlesshelp-Hhelp-！morehelp！3.Tcpreplay参数-q安静模式-a精确的时间（使用高速cpu发包）-d输出调试信息（0-5，默认0）-v可选参数，每发送一个报文都以tcpdump风格打印对应信息-A可选参数，在使用tcpdump风格打印输出信息时，同时再调用tcpdump中的参数。-C把报文存在内部缓存中-c双网卡回放报文必选参数，后跟文件名-i双网卡回放报文必选参数，指定主接口-I双网卡回放报文必选参数，指定从接口-N获得网络接口和出口-l可选参数，指定循环次