使用带有校验和更新的Perl修改PCAP文件
我有大约250MB的pcap。我可以使用tcpreplay更改MAC和IP地址,但我还需要修改数据包负载中的一些字段。如果我通过读取二进制来更改字段,则ip有效负载的校验和将失败。是否有一个模块允许我修改某些字段并更新校验和?您可以使用Net::PCap解析这些文件: 以下是一个例子:使用带有校验和更新的Perl修改PCAP文件,perl,pcap,Perl,Pcap,我有大约250MB的pcap。我可以使用tcpreplay更改MAC和IP地址,但我还需要修改数据包负载中的一些字段。如果我通过读取二进制来更改字段,则ip有效负载的校验和将失败。是否有一个模块允许我修改某些字段并更新校验和?您可以使用Net::PCap解析这些文件: 以下是一个例子: 这太棒了!NetPacket看起来是适合此作业的模块。谢谢事实上我使用的是隧道式IP数据包,所以我实际上希望通过协议TCP/UDP报头。我希望做1。通过UDP报头剥离数据包。2.搜索特定模式并替换为其他模式。Ne
这太棒了!NetPacket看起来是适合此作业的模块。谢谢事实上我使用的是隧道式IP数据包,所以我实际上希望通过协议TCP/UDP报头。我希望做1。通过UDP报头剥离数据包。2.搜索特定模式并替换为其他模式。NetPacket模块是否允许我这样做,并且在重新组装时仍然能够更新所有支票金额?对不起,这是一个太具体的问题,我无法回答。谢谢,我认为我有解决方案。我正在使用bbe来改变模式,然后使用模块来更新所有chksums,它似乎在6年前就开始工作了,我最终使用了Python Scapy和C++的PcapPlusPlus libs来实现这一点,现在比6年前容易多了
use Net::TcpDumpLog;
use NetPacket::Ethernet;
use NetPacket::IP;
use NetPacket::TCP;
use strict;
use warnings;
my $log = Net::TcpDumpLog->new();
$log->read("foo.pcap");
foreach my $index ($log->indexes) {
my ($length_orig, $length_incl, $drops, $secs, $msecs) = $log->header($index);
my $data = $log->data($index);
my $eth_obj = NetPacket::Ethernet->decode($data);
next unless $eth_obj->{type} == NetPacket::Ethernet::ETH_TYPE_IP;
my $ip_obj = NetPacket::IP->decode($eth_obj->{data});
next unless $ip_obj->{proto} == NetPacket::IP::IP_PROTO_TCP;
my $tcp_obj = NetPacket::TCP->decode($ip_obj->{data});
my ($sec,$min,$hour,$mday,$mon,$year,$wday,$yday,$isdst) = localtime($secs + $msecs/1000);
print sprintf("%02d-%02d %02d:%02d:%02d.%d",
$mon, $mday, $hour, $min, $sec, $msecs),
" ", $eth_obj->{src_mac}, " -> ",
$eth_obj->{dest_mac}, "\n";
print "\t", $ip_obj->{src_ip}, ":", $tcp_obj->{src_port},
" -> ",
$ip_obj->{dest_ip}, ":", $tcp_obj->{dest_port}, "\n";
}