1

私は250MBのpcapを持っています。tcpreplay を使用して MAC アドレスと IP アドレスを変更できましたが、パケット ペイロード内のいくつかのフィールドも変更する必要があります。バイナリとして読み取ってフィールドを変更すると、ip ペイロードのチェックサムが失敗します。特定のフィールドを変更してチェックサムを更新できるモジュールはありますか?

4

1 に答える 1

0

Net::PCap を使用してそのようなファイルを解析できます: http://search.cpan.org/~kcarnut/Net-Pcap-0.05/Pcap.pm

以下に例を示します: http://hype-free.blogspot.co.uk/2010/03/parsing-pcap-files-with-perl.html

use Net::TcpDumpLog;
use NetPacket::Ethernet;
use NetPacket::IP;
use NetPacket::TCP;
use strict;
use warnings;

my $log = Net::TcpDumpLog->new(); 
$log->read("foo.pcap");

foreach my $index ($log->indexes) { 
  my ($length_orig, $length_incl, $drops, $secs, $msecs) = $log->header($index); 
  my $data = $log->data($index);

  my $eth_obj = NetPacket::Ethernet->decode($data);    
  next unless $eth_obj->{type} == NetPacket::Ethernet::ETH_TYPE_IP;

  my $ip_obj = NetPacket::IP->decode($eth_obj->{data});
  next unless $ip_obj->{proto} == NetPacket::IP::IP_PROTO_TCP;

  my $tcp_obj = NetPacket::TCP->decode($ip_obj->{data});
  my ($sec,$min,$hour,$mday,$mon,$year,$wday,$yday,$isdst) = localtime($secs + $msecs/1000);
  print sprintf("%02d-%02d %02d:%02d:%02d.%d", 
    $mon, $mday, $hour, $min, $sec, $msecs), 
    " ", $eth_obj->{src_mac}, " -> ", 
    $eth_obj->{dest_mac}, "\n";    
  print "\t", $ip_obj->{src_ip}, ":", $tcp_obj->{src_port}, 
    " -> ", 
    $ip_obj->{dest_ip}, ":", $tcp_obj->{dest_port}, "\n";
}
于 2013-03-01T13:15:05.670 に答える