靴下のキャプチャpcapでipアドレスを変更

Question

私は靴下のトラフィックのpcapキャプチャを持っています。

src_ip = 127.0.0.1 
dst_ip = 127.0.0.1 

それがsrc_ipにしてdst_ipアドレスを変更することは可能です：Wiresharkので、このように、示したpcapを見てみると

client_ip <-> 127.0.0.1:9050 <-> destination_ip

- トラフィックは次のようになりますか？

私はとbittwiste試してみました：

bittwiste -I in.pcap -O out.pcap -T ip -p 6 -s 127.0.0.1,1.2.3.4 -d 
127.0.0.1,4.3.2.1 

しかし、最初のパケットだけが変更されます。 2番目以降のすべてのパケットは同じままです。

私としてもtcprewriteみました：唯一の（同じ）エンドポイントのIPを見つけるように見えることから

tcprewrite --seed=325 --infile=in.pcap --outfile=out.pcap 

これは、同じランダムなIPをすべてsrc_ipに& dst_ip（127.0.0.1）を変更します。

ソックストラフィックキャプチャでsrc & dst ipアドレスを変更するにはどうすればよいですか。

おかげ

Answer 1

TL; DR。--endpointsのオプションはtcprewriteです。それはtcpprepからCACHEFILEが必要です。

$ tcpprep --port --pcap=in.pcap --cachefile=in.cache 
$ tcprewrite --cachefile=in.cache --endpoints=1.2.3.4:4.3.2.1 --infile=in.pcap --outfile=out.pcap 
$ 
$ tshark -r out.pcap 
1 0.000000  1.2.3.4 → 4.3.2.1  TCP 74 49870 → 80 [SYN] Seq=0 Win=43690 Len=0 MSS=65495 SACK_PERM=1 TSval=10438137 TSecr=0 WS=128 
2 0.000030  4.3.2.1 → 1.2.3.4  TCP 74 80 → 49870 [SYN, ACK] Seq=0 Ack=1 Win=43690 Len=0 MSS=65495 SACK_PERM=1 TSval=10438137 TSecr=10438137 WS=128 
3 0.000051  1.2.3.4 → 4.3.2.1  TCP 66 49870 → 80 [ACK] Seq=1 Ack=1 Win=43776 Len=0 TSval=10438137 TSecr=10438137 
4 0.000101  1.2.3.4 → 4.3.2.1  HTTP 139 GET/HTTP/1.1 
5 0.000121  4.3.2.1 → 1.2.3.4  TCP 66 80 → 49870 [ACK] Seq=1 Ack=74 Win=43776 Len=0 TSval=10438137 TSecr=10438137 
6 0.023045  4.3.2.1 → 1.2.3.4  HTTP 11642 HTTP/1.1 200 OK (text/html) 
7 0.023094  1.2.3.4 → 4.3.2.1  TCP 66 49870 → 80 [ACK] Seq=74 Ack=11577 Win=174720 Len=0 TSval=10438143 TSecr=10438143 
8 0.023517  1.2.3.4 → 4.3.2.1  TCP 66 49870 → 80 [FIN, ACK] Seq=74 Ack=11577 Win=174720 Len=0 TSval=10438143 TSecr=10438143 
9 0.023547  4.3.2.1 → 1.2.3.4  TCP 66 80 → 49870 [FIN, ACK] Seq=11577 Ack=75 Win=43776 Len=0 TSval=10438143 TSecr=10438143 
10 0.023560  1.2.3.4 → 4.3.2.1  TCP 66 49870 → 80 [ACK] Seq=75 Ack=11578 Win=174720 Len=0 TSval=10438143 TSecr=10438143 

---

説明

the documentation for tcprewriteによると、--endpoints=ip1:ip2 IP1とIP2の間であることが表示されるように、すべてのパケットを書き換えます。ただし、このオプションには--cachefileオプションが必要です。

tcpprepキャッシュファイルがthe tcpprep wikiによると、私たちは--portオプションを使用する場合、ここでポートなど、IPアドレス、MACアドレス、依存to split traffic in two sidesを使用しています。