Tcpreplay ile kaydedilmiş ağ trafiğini yeniden oynatmak.

Merhabalar

Bu yazımda açık kaynak kodlu Tcpreplay aracının detaylarına değineceğim. Tcpreplay aracı verilen pcap dosyasını tekrardan ağ üzerinde oynatan bir araçtır. Örneğin, sahip olduğunuz bir switch, IDS/IPS, router vb. cihazlarınızı test etmek istediğiniz zaman, mesela, IDS/IPS üzerinden gidersek, IDS/IPS test etmek için zararlı bir pcap dosyasınızı oynatarak, IDS/IPS cihazınızı test edebilirsiniz ve böylelikle IDS/IPS ne kadar iyi olduğunu görebilirsiniz, logları inceleyebilirsiniz, vb.. istatistikleri görebilirsiniz. Kısacası saldırı analinizinde, güvenlik cihazlarında vb. birçok seneryoda kullanılabilir.

Tcpreplay aracını aşağıdaki size uygun olan komutu kullanarak sisteminize kurabilirsiniz.

root# apt-get update ; apt-get install -y tcpreplay
 
root# yum update ; yum install -y tcpreplay  

Başlamadan önce aşağıdaki komutu kullanarak hazır ağ üzerinde oynatabileceğimiz pcap dosyasını indirebiliriz. Detaylar için tıklayınız.

root# wget https://s3.amazonaws.com/tcpreplay-pcap-files/test.pcap  

veya alternatif olarak aşağıdaki komutu kullanarak sahip oldğumuz network üzerinden paket toplayabiliriz. Böylelikle güvenli bir pcap dosyası elde etmiş oluruz. 🙂

root# tcpdump -w test.pcap -i eth0  

Basit bir örnek ile başlamak gerekirse, aşağıdaki komutu kullanarak basit bir pcap dosyasını belirttiğiniz ağ üzerinde oynatabilirsiniz. Komutu kullanmadan önce wireshark aracını açıp belirttiğimiz ağ arabimi seçip pcap dosyasındaki trafiği görebiliriz. Karşınıza bilinmeyen networkler, dışarıya istekler çıkacaktır.

root# tcpreplay -i eth0 test.pcap  

Screen Shot 2016-03-09 at 15.19.23

Örneğin çok büyük bir pcap dosyanızın var olduğunu düşünelim ve bunu çok hızlı bir şekilde ağ üzerinde oynatmak istiyorsunuz. Böyle bir durumda –topspeed parametesini kullanabilirsiniz. Aşağıdaki komutu kullandığınız zaman hızlı bir şekilde belirttiğiniz dosya belirttiğiniz ağ üzerinde yeniden oynatılacaktır.

root# tcpreplay --topspeed -i eth0 test.pcap  

Tcpreplay ile belirttiğiniz dosyayı 10 Mbps hızla ağ üzerinde oynatmak isterseniz aşağıdaki komutu kullanabilirsiniz.

root# tcpreplay --mbps=10.0 -i eth0 test.pcap 

Bir pcap dosyasını tek bir kez değilde 10 kez ağ üzerinde oynatmak isterseniz aşağıdaki komutu kullanabilirsiniz.

root# tcpreplay --loop=10 -i eth0 test.pcap  

Bir pcap dosyasını sonsuza kadar ağ üzerinde oynatmak isterseniz aşağıdaki komutu kullanabilirsiniz. Siz CTRL+C kombinasyonuna basmadığınız sürece belirttiğiniz .pcap dosyası ağ üzerinde oynatılmaya devam edecektir ve sürekli trafik oluşturacaktır.

root# tcpreplay --loop=0 -i eth0 test.pcap  

Örneğin, saniye başına 100 adet paketi ağ üzerinde oynatmak isterseniz aşağıdaki komut kullanılabilir.

root# tcpreplay --pps=100 -i eth0 test.pcap  

Orjinal gönderme hızından 5 kat daha hızlı pcap dosyasını oynatmak isterseniz aşağıdaki komutu kullanabilirsiniz.

root# tcpreplay --multiplier=5.0 -i eth0 test.pcap  

Örneğin, iki farklı ağ arabirimi üzerinde test.pcap dosyasını oynatmak istiyorsunuz. Böyle bir durumda aşağıdaki komut kullanılabilir. Mesela eth0 ve eth1 ağ arabirimi üzerinde oynatmak için;

root# tcpreplay --intf1=eth0 --intf2=eth1 test.pcap   

Tcpreplay ile paket ağ üzerinde oynatılırken detayları görmek isterseniz –verbose parametresini kullanabilirsiniz.

NOT : Yüksek bir trafiği ağ üzerinde oynatırken bu parametresi kullanılması önerilmez.! Performans sizin için önemli olduğu zaman bu parametreyi kullanmayınız.

root# tcpreplay --verbose -i eth0 test.pcap  

Daha fazla bilgi için man sayfasına bakınız.

Tagged with: , , , , ,

Leave a Reply

Your email address will not be published. Required fields are marked *

*

19 − 5 =

Archives

Tweets