Merhabalar
Bu yazımda açık kaynak kodlu Tcpreplay aracının detaylarına değineceğim. Tcpreplay aracı verilen pcap dosyasını tekrardan ağ üzerinde oynatan bir araçtır. Örneğin, sahip olduğunuz bir switch, IDS/IPS, router vb. cihazlarınızı test etmek istediğiniz zaman, mesela, IDS/IPS üzerinden gidersek, IDS/IPS test etmek için zararlı bir pcap dosyasınızı oynatarak, IDS/IPS cihazınızı test edebilirsiniz ve böylelikle IDS/IPS ne kadar iyi olduğunu görebilirsiniz, logları inceleyebilirsiniz, vb.. istatistikleri görebilirsiniz. Kısacası saldırı analinizinde, güvenlik cihazlarında vb. birçok seneryoda kullanılabilir.
Tcpreplay aracını aşağıdaki size uygun olan komutu kullanarak sisteminize kurabilirsiniz.
root# apt-get update ; apt-get install -y tcpreplay
root# yum update ; yum install -y tcpreplay
Başlamadan önce aşağıdaki komutu kullanarak hazır ağ üzerinde oynatabileceğimiz pcap dosyasını indirebiliriz. Detaylar için tıklayınız.
root# wget https://s3.amazonaws.com/tcpreplay-pcap-files/test.pcap
veya alternatif olarak aşağıdaki komutu kullanarak sahip oldğumuz network üzerinden paket toplayabiliriz. Böylelikle güvenli bir pcap dosyası elde etmiş oluruz. 🙂
root# tcpdump -w test.pcap -i eth0
Basit bir örnek ile başlamak gerekirse, aşağıdaki komutu kullanarak basit bir pcap dosyasını belirttiğiniz ağ üzerinde oynatabilirsiniz. Komutu kullanmadan önce wireshark aracını açıp belirttiğimiz ağ arabimi seçip pcap dosyasındaki trafiği görebiliriz. Karşınıza bilinmeyen networkler, dışarıya istekler çıkacaktır.
root# tcpreplay -i eth0 test.pcap
Örneğin çok büyük bir pcap dosyanızın var olduğunu düşünelim ve bunu çok hızlı bir şekilde ağ üzerinde oynatmak istiyorsunuz. Böyle bir durumda –topspeed parametesini kullanabilirsiniz. Aşağıdaki komutu kullandığınız zaman hızlı bir şekilde belirttiğiniz dosya belirttiğiniz ağ üzerinde yeniden oynatılacaktır.
root# tcpreplay --topspeed -i eth0 test.pcap
Tcpreplay ile belirttiğiniz dosyayı 10 Mbps hızla ağ üzerinde oynatmak isterseniz aşağıdaki komutu kullanabilirsiniz.
root# tcpreplay --mbps=10.0 -i eth0 test.pcap
Bir pcap dosyasını tek bir kez değilde 10 kez ağ üzerinde oynatmak isterseniz aşağıdaki komutu kullanabilirsiniz.
root# tcpreplay --loop=10 -i eth0 test.pcap
Bir pcap dosyasını sonsuza kadar ağ üzerinde oynatmak isterseniz aşağıdaki komutu kullanabilirsiniz. Siz CTRL+C kombinasyonuna basmadığınız sürece belirttiğiniz .pcap dosyası ağ üzerinde oynatılmaya devam edecektir ve sürekli trafik oluşturacaktır.
root# tcpreplay --loop=0 -i eth0 test.pcap
Örneğin, saniye başına 100 adet paketi ağ üzerinde oynatmak isterseniz aşağıdaki komut kullanılabilir.
root# tcpreplay --pps=100 -i eth0 test.pcap
Orjinal gönderme hızından 5 kat daha hızlı pcap dosyasını oynatmak isterseniz aşağıdaki komutu kullanabilirsiniz.
root# tcpreplay --multiplier=5.0 -i eth0 test.pcap
Örneğin, iki farklı ağ arabirimi üzerinde test.pcap dosyasını oynatmak istiyorsunuz. Böyle bir durumda aşağıdaki komut kullanılabilir. Mesela eth0 ve eth1 ağ arabirimi üzerinde oynatmak için;
root# tcpreplay --intf1=eth0 --intf2=eth1 test.pcap
Tcpreplay ile paket ağ üzerinde oynatılırken detayları görmek isterseniz –verbose parametresini kullanabilirsiniz.
NOT : Yüksek bir trafiği ağ üzerinde oynatırken bu parametresi kullanılması önerilmez.! Performans sizin için önemli olduğu zaman bu parametreyi kullanmayınız.
root# tcpreplay --verbose -i eth0 test.pcap
Daha fazla bilgi için man sayfasına bakınız.
Leave a Reply