在信息高度发达的今天,各种各样的抓包文件满天飞,QQ或微信群里面,三言两语就上抓包文件。
通过共享抓包文件进行求助,分析故障,解决问题,亦或分享经验,共同学习、进步和成长,初衷固然是好的。
但是,也许重要信息在无形无意识中,可能已经被泄露。
为什么要隐藏抓包文件中的部分信息
抓包文件通常包含网络用户的个人数据,有关网络内部结构的信息,以及其他敏感数据。部分合规准则已明确规定,无论与供应商、客户甚至内部共享抓包文件,都是不符合规定要求的。
因此,在共享抓包文件前,修改或隐藏文件中的敏感信息是绝对有必要的。
如何隐藏
要达到隐藏抓包真实IP信息的目的,通常需要借助部分文本编辑器或现有工具,使用文本编辑器进行替换,但这种使用编辑器替换内容的方式,无法自动计算报文头部校验和信息。
本教程推荐使用一款名为Bit-Twist的工具,使用该工具修改后,会自动计算头部校验和信息,相当方便。
Bit-Twist工具套件由2个工具组成,Bit-Twist和Bit-Twiste,第二个文件比第一个多了个e。Bit-Twist是一个基于libpap的功能强大的数据包回放工具,由OS X、BSD及Windows版本。Bit-Twiste是一个可以编辑抓包文件的工具。该工具具有过滤功能,同时,支持数据包修改,对Ethernet、ARP、IP、ICMP、TCP及UDP类型的数据包都支持。
唯一遗憾的是,该工具不是基于GUI的,需要基于命令行运行。
隐藏真实IP实例
下面进行一个简单的演示,讲解如何使用数据包编辑工具隐藏原始抓包文件中的IP地址。
假设以下demo1.pcap中的内部地址172.20.10.3是内部地址,或者我们需要隐藏的IP地址信息。
我们通过修改,将抓包文件demo1.pcap中的IP地址172.20.10.3替换为192.168.10.3,并输出为文件demo1_changed.pacp,以此达到因此真实IP地址的目的。修改方法如下。
先进入到工具目录。
执行如下命令。
bittwiste.exe -I demo1.pcap -O demo1_changed.pcap -Tip -s 172.20.10.3,192.168.10.3 -d 172.20.10.3,192.168.10.3
注意,这里演示的抓包文件和命令行文件在同一目录。如果目标和目的抓包文件在其它位置,更改-I和-O参数路径即可。
命令执行结果如下。
再次打开修改后的抓包文件。显示如下。
从中看到,我们已经成功的修改了想要隐藏的原抓包文件中的IP地址。
可能会出现的问题
在执行命令行工具时,有可能会弹出如下错误提示。
出现该错误提示的原因是系统中缺少cygwin1.dll文件。
找到对应版本的cygwin1.dll文件,拷贝到x:\windows目录中,再次执行命令即可。
,