TCPPREP(1) Programmer's Manual TCPPREP(1)
NAME
tcpprep - 通过 pcap 文件生成 tcpreplay (--cachefile) 用的cache文件
SYNOPSIS
tcpprep [-flag [value]]... [--opt-name [[=| ]value]]...
所有参数必须指定选项。
tcpprep 是一个pcap(3)预处理工具,可以给tcprewrite(1)处理处理报文、tcpreplay(1)发送报文提供规则。
DESCRIPTION
该手册简单的描述了 tcpprep 的用法。 tcpreplay 的基本操作是将pcap文件中的所有报文发送到单一接口中。
Tcpprep 通过用户定义的一系列规则处理 pcap 文件,生成cache文件,通过cache文件tcpreply可以明确针对单个报文,该报文是否发送以及通过那个接口发送出去。
更多详细信息,请查看Tcpreplay手册 : http://tcpre‐play.appneta.com
OPTIONS
-d number, --dbug=number
使能 debug 输出。
该选项最多只能出现一次,number为 0-5 之间的整数,默认值为 0。
如果编译时候配置(./configure)了 --enable-debug,可以通过该选项设置 debug 输出,数字越大则输出的内容越详细。
-a string, --auto=string
自动分割模式。该选项只能出现一次,且不能同 cidr, port, regex, mac 选项混合使用。
Tcpprep 会通过捕获的报文计算该ip是服务器还是客户端。为了区分客户端、服务器,必须给 tcpprep 提供一个暗示。可用的暗示为:
bridge : Bridge模式处理每个报文,尽量去判断该报文的发送者是client还是server。处理完所有报文之后,结果会根据比率(--ratio)调整。如果存在不能正确分类的报文,程序会退出。
router : Router模式跟Bridge工作模式工作方式类似。报文根据比率调整之后,tcpprep会调整掩码(从minmask到maxmask),直到不能正确识别的地址跟到某个客户端或者服务器落入同一网段中。Router模式有很大几率成功区分client、server,但不百分之百保证。
client : client模式跟bridge模式工作方式类似,不能正确分类的报文会被认为是客户端。client模式应该一直成功。
server : Server模式跟bridge工作方式类似,不能正确分类的报文会被认为为servers。server模式应该一直成功。
first : First 模式该通过查看每个IP地址首先在SRC中出现还是在DST中出现。如果IP地址首先在SRC域中出现,IP被认为是客户端,如果IP地址首先在DST域中出现,IP地址被识别为服务器。该模式一直能执行成功。
-c string, --cidr=string
CIDR-split 分割模式。该选项只能出现一次。该选项不能跟 auto, port, regex, mac 选项联合使用。
指定一系列通过逗号分割的网段,每个报文的源IP地址跟该网段匹配,能匹配到的报文即为服务器端。
IPv4 示例:
--cidr=192.168.0.0/16,172.16.0.0/12,10.0.0.0/8
IPv6 示例:
--cidr=[::ffff:0:0/96],[fe80::/16]
-r string, --regex=string
正则表达式模式。该选项只能出现一次,该选该项不能与 auto, port, cidr, mac 混合使用。
指定正则表达式取匹配每个报文的源IP地址,匹配成功的报文被认为是服务器。
-p, --port
端口区分模式。该选项只能出现一次。该选项不能跟下列选项混合使用 auto, regex, cidr, mac。
特定的TCP、UDP报文可以通过报文头部的目的端口区分client、server。
-e string, --mac=string
源mac地址区分模式,该选项只能出现一次。该选项不能跟下列选项混合使用:auto, regex, cidr, port。
定义一系列MAC地址图匹配每个报文的源MAC地址,成功匹配的报文为服务器。
--reverse
匹配 client 而不是 server。该选项只能出现一次。
默认情况下 --mac, --regex, --cidr都用与匹配服务器,匹配不到的报文为client。通过--reverse,匹配到的报文为client,匹配不到的报文为server。
-C string, --comment=string
将注释嵌入到缓存文件中。该选项只能出现一次。
--no-arg-comment
不嵌入任何注释到cache文件中,该选项只能出现一次。
默认情况下, tcppreptcpprep将用户传递的参数作为注释存在cache文件中,如果你不想要这样,定义该选项。
-x string, --include=string
只包括匹配成功的报文。该选项只能出现一次。该选该项不能跟 exclude 选项混合使用。
覆盖默认的处理方式,只处理、发送成功匹配规则的报文。规则可以为下列值:
S:<CIDR1>,... - 源IP地址匹配
D:<CIDR1>,... - 目的IP地址匹配
B:<CIDR1>,... - 源IP地址目的IP地址必须斗匹配
E:<CIDR1>,... - 源IP地址、目的IP地址任意匹配
P:<LIST> - 处理在pcap文件中下列 index 的报文。
F:'<bpf>' - BPF 过滤器。查看 tcpdump(8) man手册查看语法。
-X string, --exclude=string
排除匹配该规则的任意报文,该选项只能出现一次。该选项不能跟 include 选项联合使用。
剔除匹配下列规则的报文,只发送、编辑不匹配提供规则的报文。规则可以为:
S:<CIDR1>,... - 源IP地址匹配
D:<CIDR1>,... - 目的IP地址匹配
B:<CIDR1>,... - 源IP地址、目的IP地址同时匹配
E:<CIDR1>,... - 源IP地址、目的IP地址任意匹配
P:<LIST> - 剔除在pcap文件中下列 index 的报文。
-o string, --cachefile=string
输出cache文件,该选项只能出现一次。
-i string, --pcap=string
输入要处理的pcap文件,该选项只能出现一次。
-P string, --print-comment=string
打印在cache文件中嵌入的注释信息,该选项只能出现一次。
-I string, --print-info=string
从cache文件中打印基本信息。该选项只能出现一次。
-S string, --print-stats=string
打印特定cache文件的统计信息,该选项只能出现一次。
-s string, --services=string
加载服务端口的服务文件,该选项只能出现一次。该选项必须跟 port 选项联合使用。
该选项必须跟选项 port 联合使用。
用一系列服务器端口跟 /etc/services 格式一致:
<service_name> <port>/<protocol> # comment
示例: http 80/tcp
-N, --nonip
发送非IP流量到server 接口。该选项只能出现一次。
默认情况下,非IP流量不能不区分为服务器或者客户端的被分类为“客户端”,指定--nonip选项之后会被处理成服务器。
注意,如果指定了 --reverse 选项,该选项的意义就反转了。
-R string, --ratio=string
客户端/服务器的报文个数比率。该选项只能出现一次。该选项必须跟 auto 选项联合使用。该选项的默认值为:
2.0
因为一个给定的主机可能含有来自客户端、服务器的两种流量,tcpprep 用一个比率来调整报文数量。如果你想要覆盖默认值,定义一个浮点型数值。
-m number, --minmask=number
auto模式下最小的网络掩码长度。该选项只能出现一次,该选项只能跟 auto 选项联合使用。该选项为参数为 0-32 位的整型,默认值为 30。
默认情况下,auto模式用最小网络掩码30取建立网络包含服务器、客户端。该选项允许你修改这个值,大的数值能提高效率,但是可能会导致不正确的结果。
-M number, --maxmask=number
auto模式下最大网络掩码长度,该选项只能出现一次,该选项为0-32的整数,该选项只能跟 auto 联合使用。
The default number for this option is:
8
该选项的默认值为 8。
-v, --verbose
通过tcpdump将报文解码,并将解码后的报文输出到标准输出。该选项只能出现一次。
-A string, --decode=string
传递个tcpdump解码器的参数,该选项只能出现一次,该选项必须跟 verbose 联合使用。
指定 verbose 模式时,你可能需要指定多个参数传递给tcpdump取修改报文解码方式。默认情况下, 参数为 -n、-l。确保参数在引号内,所以该参数不会被tcprewrite解析。
下列为可用的参数:
[ -aAeNqRStuvxX ]
[ -E spi@ipaddr algo:secret,... ]
[ -s snaplen ]
-V, --version
打印版本号信息
-h, --less-help
输出简要使用信息退出。
-H, --help
输出用法并退出。
-!, --more-help
输出用法并退出。
--save-opts[=rcfile]
保存选项配置到rcfile中。
--load-opts=rcfile, --no-load-opts
从rcfile中加载选项。
OPTION PRESETS
SEE ALSO
tcpdump(1), tcprewrite(1), tcpreplay(1)
AUTHOR
Copyright 2000-2010 Aaron Turner
For support please use the [email protected] mailing list.
The latest version of this software is always available from: http://tcpreplay.synfin.net/
Released under the Free BSD License.
This manual page was AutoGen-erated from the tcpprep option definitions.
(tcpprep ) 2010-04-04 TCPPREP(1)
something to know
- --no-load-opts 选项用处,暂时没弄明白
参考资料
- http://tcpreplay.appneta.com/wiki/tcpprep